10 советов для безопасности вашего сайта.

 

cybersecurityОдна из самых важных проблем владельца сайта — безопасность. Если не уделять ей должного внимания, то велика вероятность получить головную боль в виде взлома сайта. Взлом приводит к неприятным последствиям: это и простой проекта, потеря трафика, репутации сайта, и, как следствие, потеря прибыли.

Можно выделить 3 основных проблемы со взломанным сайтом:

1. Мобильный и обычный редирект на внешние сайты. Если факт  перехода на зараженный сайт фиксируется антивирусом, установленным у пользователя, то страдает репутация сайта, на который он хотел зайти.

2. Динамические ссылки на уже зараженные сайты. Во всех случаях после обнаружения такой ссылки сайт попадет в черный список Google.

3. Статическая внешняя ссылка на зараженный сайт. К счастью, эта проблема проще и выявляется лучше, чем остальные.

Как с этим бороться? Исследования компании SiteSecure говорят о том, что Яндекс и Google в полной мере не обеспечивают своевременного выявления проблем безопасности на сайтах. Значит, необходимо уделять этому вопросу больше личного внимания и заниматься профилактикой и наблюдением за сайтом, в том числе не игнорировать установку антивирусов, пользоваться инструментами контроля статических ссылок и т.д.

Существует также прямая зависимость безопасности сайта от используемой CMS: в 2014 году сайты на бесплатных CMS заражались вирусами в четыре раза чаще, чем  сайты на коммерческих платформах. Из чего следует, что лучше пользоваться платформами, не имеющими бесконтрольного доступа к коду.

Согласно рейтингу систем управления сайтами (CMS) от http://www.gs.seo-auditor.ru/ за июнь 2015 года самой большой популярностью пользуются такие CMS:

графика1

 

А такова динамика изменения популярности CMS:

графика2

Если рассматривать с точки зрения безопасности, то SiteSecure публикует следующие данные:

 

cms_types-a55b8c185af0a4f4dbc03fa8afe2b5c7cmss-f786ebac798a3fe5a572af8b076b0a04

Исходя из этого, сайты на платных CMS в среднем можно назвать более безопасными. 

Помимо выше перечисленных, существуют и другие угрозы безопасности сайтаслабые, легко угадываемые пароли, неконтролируемый доступ к коду сайта, предоставление доступа к управлению сайтом непроверенным сотрудникам, чаще фрилансерам и др.

Мы постарались вывести общие рекомендации для соблюдения базовых мер безопасности:

10 мер безопасности

Рассмотрим каждый из пунктов подробнее:

Регулярно меняйте пароли. 

Пароли могут быть подобраны, перехвачены в недоверенной сети и так далее, потому рекомендуется их менять хотя бы раз в 2-3 месяца. Конечно, при этом не стоит использовать простые пароли, пароли, совпадающие с логином, датой рождения и пр.: хороший пароль имеет длину от 8 символов, содержит большие и малые буквы и несколько цифр.

Используйте защищенные протоколы.

Для работы с файлами сайта на сервере лучше использовать защищенные от перехвата данных протоколы — FTPS, SFTP, SSH. Таким образом, можно быть уверенным в том, что на сервер попадут именно те данные, которые передавались и никто по дороге их не перехватит.

Работайте с проверенными людьми.

Довольно часто можно встретить непорядочных разработчиков, которые могут сделать копию данных для личных нужд, внедрить свой код в тело страниц и сделать еще массу нехороших вещей. Постарайтесь найти для работ на своем сайте человека, которому будет можно доверять, но и в этом случае подумайте перед тем, как давать ему права выше тех, которые нужны для выполнения задачи.

Своевременно реагируйте на инциденты.

Если, например, от хостинг-провайдера пришло сообщение, что с вашего аккаунта рассылается спам, а вы этого точно не делали — значит как минимум один из сайтов на аккаунте взломан. В таком случае необходимо как можно быстрее проверить код всех сайтов аккаунта на изменения, причем они могут быть не обязательно недавними — взломщики часто дают вредоносным скриптам «вылежаться» после того, как они были загружены на сервер. То же касается и любых других сообщений о работе вашего сайта — нельзя их оставлять без внимания.

Не используйте имя «admin».

Даже если у вас есть отличный пароль, использование стандартных имен пользователей облегчит взломщику работу как минимум вдвое. Создайте себе отдельный аккаунт с административными правами для управления сайтом, а пользователя по умолчанию лучше удалить, если CMS это позволяет.

Используйте SSL — сертификаты.

SSL-сертификат шифрует данные, которые передаются между вашим сайтом и клиентским броузером, таким образом можно быть уверенным, что данные клиента во время работы с сайтом нельзя будет перехватить. Стоит SSL-сертификат недорого — от $6.33 в год, но при этом повышают доверие пользователей к сайту и с недавних пор, позитивно влияют на позиции сайта в поисковых системах.

Обновляйте программное обеспечение.

Во всех системах управления сайтами регулярно находятся уязвимости и просто ошибки. Особенно это касается бесплатных CMS — открытый код легко доступен злоумышленникам для поиска ошибок программиста. Потому систему управления сайтом и дополнительные модули к ней крайне желательно обновлять сразу после выхода обновлений.

Пользуйтесь мониторингом сайта.

В сети есть масса сервисов, которые предлагают мониторинг разных аспектов жизнедеятельности сайта — блокировку поисковыми системами, зараженность вирусами и так далее. Не стоит этим пренебрегать, ведь чем раньше получится узнать о проблеме, тем меньшие последствия она повлечет за собой.

Делайте бекапы вашего сайта.

По статистике, 64% людей делают резервные копии своих данных раз в год или реже. Однако, когда еще вчера с сайтом все было отлично, а сегодня нет нужных данных, копия годичной давности мало чем поможет. Позаботьтесь об этом заранее, это несложно. Клиентам услуги «виртуальный хостинг» мы делаем резервные копии самостоятельно раз в день, а для остальных предлагаем услугу «бекап-хостинг» всего от $1 в месяц за 20Гб места — это намного дешевле затрат на восстановление данных из старой копии или кеша Google.

Используйте защищенный хостинг.

Очень плохо, если с одного хостинг-аккаунта можно получить доступ к данным другого и к сожалению, у некоторых хостеров такое можно встретить. Наши хостинг-серверы от этого надежно защищены.

Конечно, в этой статье рассмотрены не все нюансы. Более подробно об исследовании безопасности сайтов можно почитать здесь: https://sitesecure.ru/securityreport1q2015. Мы же постарались сделать общие выводы и еще раз обратить ваше внимание на этот немаловажный вопрос.

 

 

 

Метки: cms | ssl | безопасность

Статьи по теме: