Как обезопасить свой сайт от взлома. Топ 8 рекомендаций

Получение контроля над сайтом и всем его содержимым уже давно используется в этом мире. Этот тренд стал набирать обороты и в Украине.

Причин множество и они могут быть самые разные, а сам взлом производится незаметно и на высоком уровне.

 

Для чего взламывают сайты

  • Доступ к заказам. “Умельцы” получают доступ к базам данных сайта, где часто хранятся заказы клиентов или заявки на обработку заказа от клиента с его данными для связи. После чего фиктивный менеджер может использовать данную информацию для связи с потенциальным клиентом и предложить ему более выгодное предложение, или вовсе представиться менеджером именно той компании, в которой пользователь оставил заказ, и продать аналогичный товар, только уже со своего склада. Клиент же, как и сам владелец сайта, может даже не подозревать об этом долгое время, а может и никогда не узнать. В конце концов забросив проект по причине отсутствия заказов.
  • Блокировка работы сайта и доступа к заказам. Все чаще встречаются случаи, когда кибер-преступники получают доступ внутреннему и внешнему ресурсу сайта, заражая компьютеры менеджеров, сервера с системами учета заказов (например 1С) для зашифровки всех важных данных. После чего связываются с администрацией с требованиями перевести не малую часть денег на их счет за получения ключа для расшифровки своих данных.
     
    Чаще всего такие манипуляции специально делают в какой-то праздник или важный день для магазина с большим количеством заказов, когда нет времени восстанавливать данные или разбираться кто виноват. Как следствие, для того чтоб не потерять лояльность клиентов и заказы администрация готова платить любую сумму для восстановления контроля. Что собственно и произошло совсем недавно в одном украинском магазине парфюмерии parfums.ua прямо 14 февраля в 4 утра. Хронология событий и как с этим справлялась команда магазина описана в их блоге.
  • Подмена информации. Наверное самая распространенная причина взлома сайтов, независимо от его типа и назначения. Замена, подмена или удаление с ресурса опубликованной ранее информации. Чаще всего это происходит тихо и незаметно, иначе заметив изменения, вебмастер восстаналивают данные с бекапов и меняются все пароли и настройки доступа.
     
    Размещенная информация на сайте может быть очень разная: это может быть личные данные человека, опубликованная незаконно и без согласия владельца или, например, компрометирующая статья с упоминанием фамилии публичной или политической личности, которая портит репутацию. Особенно часто это происходит в сезон выборов. Чаще всего администрация таких ресурсов не соглашается на просьбы или даже требования удалить статью, а не редко и вовсе не отвечает на запросы, поэтому некоторые используют силы темной стороны цифры.

computer2

 

Кто они? И можно ли их наказать?

Взламывают доступы чаще всего специалисты с техническим образованием, которые хорошо учились :) Обычно на курсах по веб-разработке или системному администрировании есть предмет о безопасности, где рассказывают какие бывают уязвимости и как защитить свои сервера или сайты от взлома. Таким образом студенты понимают как можно взломать тех, кто халатно относится к безопасности или просто не знает как позаботиться о ней.

Также есть множество хакеров, которые разобрались во многом сами, используя информацию на специализированных ресурсах. И скорее всего не на тех, которые публично открыты и все поисковики их индексируют. Достигнув определенной глубины знаний структуры серверов и архитектуры веб-сайтов начинают экспериментировать и у кого-то получается. Далее разрабатывается стратегия взлома и методы получения выгоды от этого.

На данный момент все больше возможностей и методов схватить за помидоры таких умельцев и наказать “по-серьезному”, уголовно… на срок…на долго. И раскрытие таких преступлений все чаще происходит успешно.

 

internet-1862312_960_720

Кто в ответе? Ответственность

Задумайтесь, кто отвечает за безопасность вашего сайта? Есть ли ответственный человек или администратор сервера? Если такового нет, найдите! Поручите или заставьте кого-то отвечать за безопасность.

Если обладаете лишним временем или навыками,  то лучше следить самому.

Если вас поддерживает коммерческая студия разработчиков или если вы только начинаете разрабатывать сайт, подпишите с компанией договор ответственности за безопасность данных с указанием компенсации или штрафа. Скорее всего, специалисты проанализировав сайт, создадут ТЗ на доработки, которые вам придется оплатить. Но лучше так, чем.. “не так”.

binding-contract

Да кто меня взломает? Кому нужен мой не большой сайтик?

Принять меры безопасности надо прямо сейчас. Независимо от того на сколько популярен ваш проект или какая информация там расположена. Хакеры могут использовать автоматическое сканирование на уязвимость или так называемые “дыры” все сайты подряд. А если ваш ресурс становится популярный и набирает обороты видимости, будьте уверены что в ближайшее время как минимум один не честный конкурент задумается о получении доступа к вашему ресурсу хотя бы чтоб подпортить репутацию или потрепать нервы.
 
Что и произошло с одним нашим клиентом, когда мы добились хорошей видимости проекта в сети и его сайт стал первым в своей нише. Уязвимость была обнаружена благодаря наработанной ранее лояльности клиентов, которые сообщили напрямую руководителю о перехвате заказа. Сколько злоумышленники успели перехватить заказов – осталось не известно, но вредителей вычислили и сейчас идет судебное разбирательство.

computer

Какие принять меры в первую очередь

  1. Проверить все пароли к админкам. Часто на первых этапах сайта создаются и раздаются простые (временные) пароли, и в итоге никогда не меняются.
  2. Настроить 2х-этапную аутентификацию доступа на хостинг. Хостинг-аккаунт – это все что касается вашего сайта, получив к нему доступ, злоумышленник получает практически все данные сайта. Лучше всего использовать например Google Authenticator или как минимум смс-авторизацию.
  3. Настроить доступ подключения по FTP только с определенных IP. Если вы используете подключение к сайту по FTP, очень важно использовать сложные пароли и настроить доступ только со своего ip адреса, если конечно он статичен. Но даже если ваш провайдер выдает каждый раз новый ip адрес – чаще всего вы получаете эти адреса с одного пула адресов, которые находятся в одной сети, таким образом можно указать разрешения подключаться только с этой сети.
  4. Выдавать разработчикам отдельные аккаунты к FTP. Если вы заказываете программные доработки разработчикам или фрилансерам обязательно создавайте для них отдельные аккаунты к ftp. Таким образом всегда можно отследить по логам что происходило через этот аккаунт на сайте, а также в любой момент отключить доступ к этому аккаунту. Важно! Если разработчики просят доступы к хостингу, передавайте его только в крайних случаях или если полностью доверяете им. В противном случае узнайте что именно хотят увидеть разработчики через хостинг-аккаунт и выдайте им это информацию сами, без передачи доступа к хостингу.
  5. Сайт с шифрованием SSL (протокол HTTPS). Если вы еще не используете SSL, то крайне важно перейти на шифрованный протокол обмена данных с сайтом как можно скорее. Хотя бы для административной части сайта и для личного кабинета пользователя. Иначе в любом кафе с бесплатным Wi-Fi “студент-админ” под столом на кухне без особых проблем увидит все что вы передаете на этот сайт, включая данные доступов.

    Кстати, сейчас можно бесплатно получить сертификат SSL и не сложно подключить его на свой сайт через самый безопасный и прогрессивный в Украине хостинг, зарегистрировавшись по этой ссылке (и это не реклама, а личная рекомендация)))

  6. Бекапы! Бекапы! Бекапы! Настроить на хостинге регулярное автоматическое создание резервных копий файлов сайта и баз данных. И желательно раз в месяц скачивать копии себе на винчестер. А для таких параноиков как я и моя сестра :-) , рекомендую хранить бекапы на внешнем накопителе в несгораемом сейфе.
  7. Регулярно обновлять CMS. Если ваш сайт разработан на базе какого-то общего фреймворка, не пренебрегайте установкой его обновлений. Очень часто в апдейтах движка присутствуют исправления новых обнаруженных “дыр уязвимостей” и важно как можно скорее обновится. Главное обновляйтесь исключительно с официального источника.
  8. Регулярно менять пароли. Поставьте себе напоминание раз в пол года или хотя бы год – менять пароли от всего что можно, даже от баз данных (только не забудьте переподключить сайт после этого). Ну и конечно-же использовать не придуманные лично пароли, а пользоваться специальными генераторами, установив минимум “средний” уровень сложности и количество генерируемых символов от 8.

Кстати, считается что хомо сапиенс не может сгенерировать случайный набор цифр или букв для пароля (как и увидеть во сне или придумать несуществующую фигуру, которую раньше он никогда не видел). Все что вы придумаете для пароля, каждое сочетание цифр, букв или символов с чем-то связано в вашей жизни и даже может быть использовано для подбора пароля! Ну это так, для нас – параноиков!

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Перезвонить?

 

×
Предварительный заказ

 

×