Как защитить свой сайт от взлома?
Что только не придумывают владельцы сайтов, чтобы не заниматься вопросами их безопасности: «мой сайт не представляет ценности для хакеров», «вряд ли меня кто-нибудь захочет взломать» и все в этом духе. Мол, работает сайт, и ладно.
Полагая, что ваш сайт не представляет для киберпреступников никакой ценности, вы сильно недооцениваете вашего незримого противника. Большинство взломов — это не банальные кража данных или поломка шаблона сайта, а попытка использовать сайт для распространения спама или создания на нем временного хранилища файлов незаконного характера. Другие, не менее распространенные случаи злоупотребления взломанными сайтами, заключаются в использовании сайтов для ботнета или для скрытого майнинга криптовалюты. И не забывайте про интернет-вымогателей.
Как правило, взлом выполняется автоматическими скриптами, написанными для эксплуатирования уязвимостей в программном обеспечении. По данным компании Positive Technologies, специализирующейся на информационной безопасности, количество киберпреступлений в 1 квартале 2019 года выросло на 32% по сравнению с аналогичным периодом предыдущего года. И, исходя из прогнозов экспертов, количество кибератак будет расти. Поэтому предлагаем вам действовать превентивно и подготовить защиту заранее.
В этой статье собраны 5 лучших советов, которые помогут вам и вашему сайту безопасно работать в интернете.
Регулярно обновляйте CMS сайта
Этот совет может показаться очевидным, однако регулярное обновление программного обеспечения имеет важное значение для обеспечения безопасности вашего сайта. Когда в программном обеспечении обнаруживается уязвимость, хакеры моментально пытаются ее эксплуатировать. Не медлите: регулярно обновляйте CMS и все ее компоненты (плагины, модули, файлы темы и др.). Однако не забывайте, некоторые обновления могут быть несовместимы друг с другом. Поэтому перед любым обновлением настоятельно рекомендуем делать резервную копию.
Также обязательно подпишитесь на уведомления от поставщика вашего программного обеспечения, чтобы держать руку на пульсе самых последних новостей. На сегодняшний день подавляющее большинство компаний делают email-рассылки, поддерживают push-уведомления и ведут группы в социальных сетях, через которые оперативно оповещают своих подписчиков об обнаруженных уязвимостях и актуальных обновлениях. А некоторые CMS, в числе которых популярный WordPress, сообщают об обновлениях каждый раз при входе в систему.
Устанавливайте SSL-сертификаты
На сайте, который защищен SSL-сертификатом, злоумышленники не могут перехватывать личные данные посетителей: логины, пароли, данные банковских карт и другую информацию. SSL-сертификат гарантирует их защиту. Вспомним, как в свое время поисковик Google объявил, что будет повышать в поисковой выдаче сайты, которые перешли на протокол HTTPS, что дает неоспоримое преимущество для SEO. Яндекс также не остался в стороне и упомянул о преимуществах использования SSL сертификата в своем блоге. Так что времена небезопасного протокола HTTP уходят в прошлое.
Определить сайт с SSL-сертификатом легко — если вы видите небольшой замок рядом с адресом сайта в браузере, значит сайт защищен, а вся информация передается по защищенному протоколу HTTPS.
Компании, выпускающие SSL-сертификаты, называются удостоверяющими центрами, которые, в свою очередь, делятся на коммерческие и некоммерческие. Например, некоммерческий удостоверяющий центр Let's Encrypt выпускает полностью бесплатные и автоматизированные сертификаты, которые защищают сайты не хуже платных аналогов. Главное отличие платного сертификата от бесплатного — финансовая гарантия. В случае взлома платного сертификата удостоверяющий центр может выплатить компенсацию. Порой, это весьма солидные суммы, от $500К и выше.
Шифруйте пароли
Пароли на сайте всегда должны храниться в виде зашифрованных значений, предпочтительно с использованием алгоритма хеширования (например, SHA). Использование этого алгоритма означает, что при аутентификации пользователей вы будете сверять только зашифрованные значения. В случае взлома и кражи захешированных паролей это минимизирует ущерб, поскольку расшифровка таких паролей невозможна. Единственное, что с ними можно сделать, это провести атаку с использованием словаря или угадывать каждую комбинацию скриптом, что в вычислительном плане долго и нецелесообразно.
Также крайне важно самому использовать надежные пароли и учить этому посетителей сайта, чтобы защитить их учетные записи. Внедрение таких требований к паролям, как минимальное количество символов, наличие заглавных букв и цифр поможет защитить пользовательские данные в долгосрочной перспективе.
В недавнем исследовании, российские эксперты по безопасности проверили 3,7 миллиарда логинов и ключей за последние 3 месяца, которые можно найти в свободном доступе и отметили, что доля надежных паролей (буквы + цифры + символы) в сети всего 3%.
Как сгенерировать надежный пароль?
- Не менее 8 символов, желательно от 16.
- Должны быть цифры, буквы (в том числе и заглавные) и символы.
- Пароль должен быть бессмысленный.
Пример: Rk3@s*9c;H38~Bj
Также особое внимание следует уделить способу хранению пароля.
Большинство пользователей предпочитают запоминать пароль, записывать в блокнот или заметки телефона, использовать оффлайн менеджер паролей и приложение на телефон.
Выполняйте резервное копирование сайта
Резервное копирование может спасти ваш сайт даже тогда, когда нет надежды вернуть работоспособность проекту. Часто бывает, что злоумышленник заносит «заразу» на сайт задолго до того, как вы ее заметите и в этом случае, чем старее будет ваша резервная копия, тем больше шансов на восстановление. Для бизнеса в сети наличие резервного копирования должно быть не менее важным, чем продажи. Если сайт пропадет, ваша торговля не только будет остановлено, но вам нужно будет создавать сайт с нуля, что требует инвестиций и времени.
Таким образом, резервное копирование спасает, если:
- Произошел взлом злоумышленниками
- От случайного удаления файлов сайта.
- От падения сервера, пожара и других катастроф.
Как осуществлять резервное копирование?
Существует несколько способов:
- В зависимости от CMS, используйте специальные плагины и модули по резервному копированию.
- Вручную копируйте файлы с сервера на локальный компьютер.
- Ежедневное копирование, предоставляемое SpaceWeb.
- При помощи других специальных программ и скриптов.
Проверяйте сайт на вирусы
SpaceWeb предоставляет пакет антивирусного ПО Revisium, который способен определить:
- Вирусные вставки;
- Веб-шеллы;
- Бэкдоры;
- Фишинговые страницы;
- Дорвеи;
- Cпам-скрипты;
Антивирусное ПО работает в 2х режимах, в автоматическом и ручном, а также способно самостоятельно, с вашего разрешения, удалять вредоносный код.
Подробнее с антивирусом Revisium на SpacWeb вы можете ознакомиться здесь: https://help.sweb.ru/entry/38/
Также предлагаем воспользоваться нашей подсказкой и защитить свой сайт от вредоносного ПО: https://help.sweb.ru/entry/37/
Пожалуй, это основные способы обезопасить свой сайт.
Есть также отдельные способы взлома, которые применяют наиболее опытные хакеры и мы отдельно их осветим в следующих статьях. Если вы стали жертвой злоумышленников и вышеуказанные методы безопасности вам не помогают, рекомендуем обратиться к нашему сертифицированному партнеру Revisium.