Зачем нужна повышенная безопасность сайта?

Безопасность сайта справедливо можно отнести к категории безопасности бизнеса.

Анализируя ретроспективу прослеживается тенденция:

Естественно, чем дальше в прошлое, тем меньше показатель взломов и компрометации сайтов, по причине того, что самих сайтов было меньше. Но график показывает проблематику в целом.

Объектом атак злоумышленников (хакеров) может стать:

• небольшой интернет-магазин;
• корпоративный сайт компании средней руки;
• landing page или персональный блог;
• любой сайт с невысоким уровнем безопасности.

Типы атак на веб-сайты

Атаки и их результаты могут быть разными:

• DDos-атака.
  Принцип довольно прост: на одну страницу сайта провоцирую запуск большого кол-ва запросов до тех пор, пока сервер сайта не исчерпает ресурс, чтобы их обрабатывать.

  В результате, говоря простым языком – «белый экран» вместо Вашего сайта.

• Взлом сайта.
  Это ситуация, когда злоумышленники тем или иным способом получают доступ к Вашему сайту. Последствия могут быть разным:

  • Удаление сайта полностью или частично. Тут без комментариев.
  • Размещение на ресурсе вредоносного кода (вируса). Это изощренная форма вреда Вашему сайту и бизнесу в целом, так как Ваш сайт получит репутацию такого, который распространяет вирусы, за что могут последовать очень неприятные санкции от поисковых систем и других авторитетных интернет-организаций.
  • Получить доступ к конфиденциальной информации. Например, к базе покупателей Вашего интернет-магазина, их статистике заказов и так далее.
  • Внести изменения в настройки. Как вариант, закрыть сайт от индексации поисковыми системами, тогда сайт может полностью пропасть из выдачи Google, Яндекс и других поисковиков.

Зачем хакеры взламывают сайты?

На самом деле мотивация хакеров очень понятная:

1. Деньги. Ваш сайт могут атаковать под заказ, причем это не так дорого. Расценки начинаются с 30 долларов. То есть может быть доступно Вашим конкурентам или завистникам.
2. Конкуренция в поиске. Если Вы активно продвигаете сайт в поисковых системах или размещаете контекстную рекламу, так называемые «черные SEOшники», чтобы «расчистить» себе место в ТОП могут совершать попытки атаки на Ваш сайт.
3. Тренировка и повышение навыков. Прежде чем совершать атаку на сайт сервера Пентагона начинающему хакеру необходимо тренироваться. Почему бы это не сделать на каком-то простеньком сайте?

Наиболее подвержены взломам сайты разработанные на популярных платформах (CMS):

Это связанно с тем, что эти системы доступны каждому для изучения их структуры и логики работы.

Конечно нет! Так как дальнейшее развитие сайта на популярной CMS значительно дешевле, проще и эффективней, чем на так называемой «самописной».

В этой статье я затрагиваю данную тему.

Команда веб-студи BUSINESSSITE специализируется на создании сайтов на CMS WordPress – лучшей платформе для корпоративных сайтов и landing page. Мы разработали ряд мероприятий, которые значительно повышают уровень безопасности сайтов наших клиентов.

Повышенный уровень безопасности сайта по стандартам BUSINESS SITE

Данный перечень начну со стандартных мероприятий безопасности.

Настройка ЧПУ (человеко-понятных URL) адресов страниц Вашего сайта

Что иметься в виду:

• без настройки ЧПУ.
  Такой формат URL-адреса позволяет обращаться к базе данных сайта через адресную строку и при помощи так называемых SQL-инъекций получить логин и пароль от системы управления сайтом.



• ЧПУ настроены.
  В этом случае возможность взлома сайта через адресную строку практически исключена. Также это обязательное мероприятие для внутренней SEO оптимизации сайта.

Удаление лишних плагинов и тем

При установке CMS зачастую инсталлируются ее бесплатные компоненты (темы и плагины), которые не участвуют в работе сайта. Для того, чтобы не оставлять злоумышленникам дополнительные лазейки для взлома, все компоненты сайта, которые не участвуют в его работе, необходимо удалить.

То же самое качается удаления файлов настроек, после того, как сайт уже проинсталлирован на основном хостинге. Неопытные веб-разработчики зачастую забывают это сделать, оставляя серьезную уязвимость веб-ресурса.

Только лицензионные плагины

Не рекомендуем использовать компоненты сайта с нарушением лицензионного соглашения, так как они могут создавать дополнительные уязвимости.

Настройка https-протокола

Это протокол шифрования данных пользователя, которые он отправляет на сервер через различные формы. Более подробно о переходе на HTTPS протокол читайте в этой статье.

HTTPS не позволит перехватить Ваши данные, например, когда Вы логинитесь в админ-панели.

Ограничение доступа к админ-панели по ip-адресу

Дополнительная мера безопасности, которую мы предлагаем нашим клиентам. Это исключает доступ в систему управления Вашего сайта, даже при наличии логина и пароля, если ip-адрес, с которого происходит авторизация, не разрешен в системе.

Установка запроса Капча (captcha) при входе в админ-панель

Эта мера позволит избежать несанкционированного входа на Ваш веб-ресурс, если злоумышленник совершит попытку подбора пароля к сайту той или иной автоматизированной системой.

Нестандартный URL админ-панели

Как писал выше, главная уязвимость всех популярных платформ заключается в том, что их конфигурация известна.

Мы настраиваем нестандартный URL админ-панели – любое нейтральное название, а при запросе к /wp-login.php выдает ошибку 404.

Чтобы усилить эффект мер безопасности, обязательно прочтите последний абзац.

Рекомендации по безопасности для владельцев сайтов

1. Придумывайте сложный пароль и непредсказуемый логин. Не используйте логин наподобие «admin», «administrator» и прочее. Так как это очень предсказуемо для злоумышленников.
   Используйте слово никак не связанное с Вашим сайтом и бизнесом.
   А для составление сложного пароля воспользуйтесь генератором, например, этим: www.onlinepasswordgenerator.ru
   или встроенным в браузер Chrome
2. Не давайте доступы 3-м лицам. Тут без комментариев.
3. Не экономьте на хостинге и приобретайте услуги хостинга только у известных компаний с хорошей технической поддержкой и устойчивым к DDos-атакам.
4. Делайте резервную копию сайта не реже 1 раза в месяц. На тот случай, если Ваш сайт все-таки взломают и удалят, то Вы сможете легко его восстановить.
5. Не реже 2-х трех раз в день заходите на свой сайт. Это особенно важно если Вы ведете активные рекламные кампании и занимаетесь SEO-продвижением. Так как если сайт будет недоступен по причине взлома, а Вы не будете об этом знать – это негативно скажется на результатах рекламных кампаний.
6. Заказывайте разработку сайтов в BUSINESS SITE!