Блог

Как защититься от хакеров или 10 советов по безопасности сайта

Отрицать тот факт, что каждый хороший веб-разработчик немножко хакер — не имеет смысла. Другое дело, что далеко не все своими умениями пользуются. Но и тех, кто этим занимается на всех хватает. В сети Интернет существует множество рекомендаций для пользователей, как обезопасить себя и свои данные от чужих глаз. Среди них простые истины типа не ходить по сомнительным сайтам, не переходить по присланным сторонним ссылкам и баннерам, не оставлять номер карты и паспортные данные, где ни попади.

Угроза существует не только для пользователей, но и для сайтов. И она гораздо серьёзнее. Не нужно думать, что если год назад вы произвели все настройки и позаботились о безопасности своей веб-страницы, то с ней и дальше будет всё ОК. Новые методы взлома и вирусы появляются тысячами если не несколько раз в день, то в неделю — точно. Более того, абсолютной безопасности не бывает, каким бы хостингом, скриптами и протоколами вы не пользовались. Это миф. Если стоит задача вас взломать, то будь вы хоть сайтом Пентагона — это сделают. При этом, в подавляющем большинстве случаев ваш ресурс используется вовсе не для того, чтобы похитить ваши данные или данные пользователей. Чаще всего он нужен в качестве одноразового варианта для рассылки спама или вируса.

Согласно статистике, больше всего DDoS-атакам подвержены сайты на WordPress. Меньше — на Joomla! Ещё меньше — на Magneto. Но и это тоже не является объективным показателем. Помните, почему Неуловимый Джо такой неуловимый? – Потому что никому не нужен. Здесь схожая ситуация. Концентрация web-ресурсов на WordPress, их статистика и поисковая выдача гораздо выше. А от того и желающих воспользоваться ими в своих целя- больше.

Тот факт, что достигнуть абсолютной безопасности невозможно — не значит, что к ней не нужно стремиться. Иначе, в один прекрасный день, вы просто не узнаете свой сайт. Поэтому, дабы потом не кричать «HELP, срочно!!!», нужно уделять этому внимание на постоянной основе.

10 советов как защитить свой сайт

В качестве предисловия, прежде чем приступить к советам более технологичным, поговорим о паролях. Все же знают, что пароль должен быть сложным, состоять минимум из 10 символов среди которых строчные и заглавные буквы, цифры и прочее. А теперь угадайте с первого раза, какой самый популярный пароль в мире? Правильно — qwerty. И им не брезгуют не только пользователи, но и владельцы сайтов. Хорошо хоть системы безопасности перестали пропускать подобное и требуют придумать чего-нибудь посложнее. И знаете, как креативит наш народ. К примеру — Ivanov76 и в информации о компании на сайте — биография этого самого Иванова 1976 года рождения. Ну и как, скажите, такой сайт не взломать приличному хакеру? Но — это лирика. Перейдём к важному.

Разработайте стратегию защиты

Самостоятельно стратегию защиты сайта разработать непросто, а точнее — невозможно. Если речь идёт о крупной корпорации с собственной службой IT-безопасности, то специалисты это либо уже продумали и внедрили, либо справятся с задачей без проблем. Небольшим компаниям, у которых за сайт отвечает 1-2 человека (он же администратор, seo, разработчик и копирайтер в одном лице) — лучше делегировать эту задачу сторонней компании с опытными веб-разработчиками. При этом, сразу оговорите бюджет, который вы готовы выделить на web-безопасность.

В стратегию защиты входит:

●  Сбор информации

●  Определение проблемных областей

●  Группировка уязвимостей по типу и приложениям

●  Проведение автоматического и ручного тестирования

●  Исправление обнаруженных ошибок

Это далеко не полный перечень пунктов, которые требуются при разработке и они все обязательны к выполнению. Причём — не единожды, а на постоянной основе.

Проведите digital-инвентаризацию

Вы знаете сколько и каких приложений храниться на вашем сайте? Скорее всего — нет. И очень даже зря. В процессе инвентаризации вы выясните, что часть из них появилась неведомо откуда, вы ими никогда не пользовались и не будете этого делать.

Требуется наверняка определить, что нужно, а что можно удалить без сожаления. После этого выполнить комплексный аудит оставшихся и настроить защиту.

Разделите приложения по приоритету

Вы уже избавились от ненужного, но это не значит, что ваш сайт стал менее уязвимым. К примеру, вы владелец интернет-магазина. Следовательно, на вашем ресурсе собрана различная информация, которая интересна не только вам. Исходя из этого, приоритет ваших приложений будет выглядеть следующим образом:

 ●  Чрезвычайные ресурсы. Они загружаются извне, содержат персональную информацию о клиентах и интересны для хакеров в первую очередь. Их контроль и безопасность стоят на первом месте.

 ●  Важные ресурсы. Данные приложения могут быть и внешними и внутренними. В них содержится конфиденциальная информация сайта или компании.

 ●  Стандартные ресурсы. Не содержат никаких конфиденциальных данных.

Проверка приложений должна проводится с определённой периодичностью, а её глубина и анализ зависят от приоритета.

Установите ограничения для приложений

Приложения, которые используются на вашем сайте, не существуют в вакууме. Они постоянно взаимодействуют с внутренними и внешними серверами. И каждое из них имеет различную степень разрешений. Чтобы избежать дополнительных проблем, необходимо установить каждому из них максимальные ограничения, оставив доступ исключительно к тем разделам, к которым они имеют непосредственное отношение. Процесс этот не быстрый, трудоёмкий, требует определённых навыков и постоянных согласований, в том числе и с хостингом. Но безопасность превыше всего.

Проведите настройку файлов Cookie

Файлы-cookie удобны для всех — и для пользователей, и для владельцев сайта. Они позволяют быстрее отображать контент, если человек уже посещал страницу, что положительно сказывается на пользовательском опыте. Для хакеров Cookie тоже полезны. Через них они могут получить конфиденциальную информацию. Не стоит кидаться из крайности в крайность и отказываться от их использования. Нужно просто провести правильные настройки и запомнить ряд правил:

●  Нельзя использовать Cookie для конфиденциальной информации

●  Не храните файлы долго, даже если данные не обновляются. Максимальный срок — месяц, а лучше меньше

●  Обдумайте вариант шифрования информации из Cookie

Как видите, правила довольно простые и выполнить их несложно.

Используйте SSL/TSL-сертификаты

TSL-сертификаты — усовершенствованная версия SSL. Это криптографический протокол, который шифрует все данные, которые передаются по сети между вашим сайтом и браузером пользователя. Стоит это удовольствие недорого, но отлично выполняет свою задачу. Перехватить данные защищённые шифрованием гораздо сложнее. А даже если это и произошло — воспользоваться ими практически невозможно.

Отдавайте предпочтение HTTPS вместо HTTP

HTTPS — ещё один протокол шифрования, который используется поверх TSL. Защищает сайт от атак которые основаны на прослушивании сетевого соединения. Сайты использующие HTTPS в ранжировании поисковых систем предпочтительнее, поэтому его можно использовать и как инструмент маркетинга.

Обязательно делайте резервные копии

Бэк-апы сайта необходимо делать сразу на нескольких источниках — локальные и удалённые серверы. И производить это действие необходимо регулярно как в автоматическом режиме, так и в ручном. Если после взлома у вас останется одна «битая» копия страницы — восстановить из неё сайт полностью будет сложно. Поэтому, чем больше будет сохранено бэк-апов — тем лучше.

Не доверяйте сайт неизвестно кому

Если для создания сайта ваш знакомый порекомендовал вам знакомого, у которого есть знакомый, который знает человека который может сделать вам сайт — где гарантия, что у него не осталось доступа ко всему содержимому. Для разработки и обслуживания своего веб-ресурса пользуйтесь услугами компаний с проверенной репутацией. Если даёте доступ к «админке» сторонним копирайтерам для наполнения сайта, то максимально ограничте их возможности.

Предоставляйте минимум информации в сообщениях об ошибке

Если вход на ваш сайт предусматривает определённую форму, то сообщение об ошибке, которое вы будете показывать, должно содержать минимум конкретики. К примеру, «Логин или пароль не совпадают с зарегистрированными». Но ни в коем случае не указывайте в каком именно пункте ошибка.

И ещё раз о паролях

Меняйте пароли доступа к вашему сайту минимум раз в 2-3 месяца. Не используйте в качестве имени «admin» и производные от него. Имя пользователя должно быть оригинальным. Это не гарантия, что его не подберут, но не упрощайте хакерам задачу.

И ещё одна рекомендация. Регулярно обновляйте программное обеспечение. Особенно, если вы пользуетесь CMS с открытым кодом. Уязвимости обнаруживаются регулярно, поэтому нужно следить за ПО и обновлять модули сразу после того, как они вышли.

Похожие записи