Блог

Техническая изоляция сайта. Что это и зачем она нужна

Создать сайт, наполнить контентом, оптимизировать и вывести в ТОП — мало для того, чтобы он был максимально эффективным и приносил реальные деньги своему владельцу. Чтобы ресурс корректно работал, ему необходимо «прикрыть тылы» — то есть, максимально его защитить. В том числе и от ему подобных. Когда вы покупаете дом или квартиру, вы в том числе ориентируетесь на безопасность района и соседей, которые будут жить с вами в одном доме. И если это асоциальные элементы — то вряд ли вы совершите подобную покупку. Так и в случае с сайтом.

Виртуальный хостинг — своего рода коммунальная квартира в которой живут тысячи и даже миллионы людей вокруг. Все они могут пересекаться на общей территории. Подобрать себе соседей в данном случае значительно сложнее — они все могут быть добропорядочными до поры, до времени. Но вот создать для себя безопасную зону, в которую никто не сможет проникнуть и не выходить в общее пространство — можно.

Что такое техническая изоляция сайта

Если говорить простыми словами — это своего рода огромный непробиваемый забор с надёжной охраной по всему периметру, за которым ваш сайт будет находится в абсолютной безопасности. Зачастую, речь идёт о нескольких сайтах одного пользователя, которые находятся в одном аккаунте хостинга. Владельцы любят использовать подобный приём в целях экономии, мол — всё это и так мои сайты (моей компании, моих клиентов — нужное подчеркнуть). И этот подход в корне не верен. Необходимо создавать отдельный аккаунт на хостинге для каждого сайта.

Использовать исключительно встроенные опции изоляции сайтов, которые предлагает хостер — не достаточно. Необходимо осуществлять локальные ручные настройки, чтобы от отдельного пользователя запускались не только сайты, но и ряд отдельных процессов. Это позволяет обезопасить сайт. Прописывается это при помощи модулей, которые могут разниться в зависимости от хостера. Одним из распространённых, который позволяет контролировать процессы и демонов окружения, является mpm_itk. Если использовать его, то изоляционный скрипт, который запускает приложение от отдельного пользователя будет выглядеть приблизительно следующим образом:

<IfModule mpm_itk_module>

MaxClientsVHost 30

AssignUserId #66493 #666

</IfModule>

Так вот, данный пользователь будет иметь доступ к записям и чтению непосредственно в самой директории сайта, но у него нет прав, чтобы попасть к директориям других сайтов. Если продолжать аллегорию, то ни он не может перелезть через забор, ни к нему никто не может забраться.

Данный пример, большей мерой показывает защиту окружения от вас. При этом, существуют иные модули, которые защищаю вас от других.

Зачем нужна техническая изоляция сайта

Если все сайты находятся в одной коммунальной квартире, коммуницируют между собой и вытираются одним полотенцем, то если заразу подхватит один — она разнесётся всем. Это вполне понятно, логично и справедливо. Можно парировать, что вы не храните сайты в общей куче с соседями, а только в своём аккаунте. Продолжаем играть в ассоциации. Если ваш ребёнок принёс домой из сада ротовирус, то с вероятностью 100% он заразит всех членов семьи (общий аккаунт). А чтобы этого не произошло — необходимо принять эффективные меры. В случае с сайтами, таковой и является их изоляция.

В данном случае, если в результате атаки или заражения вирусом страдает один сайт — это не распространяется на другие. Злоумышленники добираются до одного сайта и не выходят за его пределы. А если техническая изоляция не произведена — сайт сам начинает заражать соседей и распространять на них вредоносное ПО. Поэтому, взломав один сайт — хакер получает доступ ко всем рессурсам, хранящимся на хостинге. Использовав техническую изоляцию, в качестве защитной меры — это становится уже невозможным.

Это же правило работает и в случае VPN-серверов, только реализовать его несколько сложнее. Впрочем, опытные веб-разработчики отлично справляются с данной задачей обеспечивая 100% защиту.

Что делать чтобы не допустить заражения сайта соседями

На самом деле, у владельца сайта есть только 3 пути выхода из ситуации, чтобы его сайт оставался в безопасности или решения проблемы, если сайты оказались заражены:

  • Обеспечить изоляцию сайтов на отдельных аккаунтах, после чего вылечить каждый в отдельности
  • Удалить устаревшие или не представляющие ценность сайты, после чего решить проблему с остальными
  • Оставить всё как есть, но вылечить каждый ресурс максимум в течении 24 часов.

На самом деле, последний вариант практически не работает. Процесс заражения сайтов в одном аккаунте вредоносными элементами — это не цепочка, а спираль. Вы лечите первый сайт, а когда доходите до третьего — первый опять заражается. Поэтому, либо требуется большая команда, которая будет одновременно заниматься всеми ресурсами, либо искать другие пути решения.

Личный опыт SEO-HI или наиболее частые проблемы, ошибки и заблуждения наших клиентов

Первое заблуждение, что если в аккаунте находятся только мои сайты — им ничего не угрожает, мы уже разобрали и выяснили почему это не так. Поскольку владельцы страниц, да и чего греха таить, некоторые веб-разработчики прошедшие краткий курс «Как создать топовый сайт», не глубоко погружаются в тему, у них возникают и другие распространённые заблуждения.

  • Зачем проводить полную изоляцию, если можно создать для сайта изолированный FTP-аккаунт. Как бы не было прискорбно это сообщать, но данная мера безопасности это как промыть рваную рану водой и больше ничем не обрабатывать. Изолированный FTP обеспечивает изоляцию только по FTP. При этом, к примеру web-скрипты будут доступны всем желающим.
  • Зачем лечить все 10 сайтов, если основным является только 1 — его и лечим. Зачастую именно подобную формулировку приходится слышать от владельцев сайтов, которые хотят сэкономить. Печально, но факт — переубедить их практически не возможно. Если поступать таким образом, то лучше сразу ничего не лечить. Или быть готовым к тому, что это будет бесконечно, фактически в режиме 24/7.

Если вы используете выделенный сервер — это не значит, что «все яйца можно хранить в одной корзине», точнее все сайты в условной папке mysaiti_admin. Не удивляйтесь, что все 100 штук окажутся носителями вирусов. По отношению к ним работают те же правила. К тому же, осуществив изоляцию сайта, если на вашу компанию поступил «заказ» и атаке подверглись все ресурсы одновременно, лечение можно проводить не срочно, всего и сразу, а поэтапно. Это экономит нервы, время, деньги и формирует доверие пользователей.

Похожие записи