поддержка отдел продаж

Блог

10 советов для безопасности вашего сайта.

15 июля 2015 admin Комментариев нет
10 советов для безопасности вашего сайта.

Одна из самых важных проблем владельца сайта - безопасность. 

Если не уделять ей должного внимания, то велика вероятность получить головную боль в виде взлома сайта. Взлом приводит к неприятным последствиям: это и простой проекта, потеря трафика, репутации сайта, и, как следствие, потеря прибыли. 

Можно выделить 3 основных проблемы со взломанным сайтом:

1. Мобильный и обычный редирект на внешние сайты. Если факт  перехода на зараженный сайт фиксируется антивирусом, установленным у пользователя, то страдает репутация сайта, на который он хотел зайти. 

2. Динамические ссылки на уже зараженные сайты. Во всех случаях после обнаружения такой ссылки сайт попадет в черный список Google.

3. Статическая внешняя ссылка на зараженный сайт. К счастью, эта проблема проще и выявляется лучше, чем остальные. 

Исследования компании SiteSecure говорят о том, что Яндекс и Google в полной мере не обеспечивают своевременного выявления проблем безопасности на сайтах. Значит, необходимо уделять этому вопросу больше личного внимания и заниматься профилактикой и наблюдением за сайтом, в том числе не игнорировать установку антивирусов, пользоваться инструментами контроля статических ссылок и т.д. 

Существует также прямая зависимость безопасности сайта от используемой CMS: в 2014 году сайты на бесплатных CMS заражались вирусами в четыре раза чаще, чем  сайты на коммерческих платформах. 

Из чего следует, что лучше пользоваться платформами, не имеющими бесконтрольного доступа к коду. 

Согласно рейтингу систем управления сайтами (CMS) за июнь 2015 года самой большой популярностью пользуются такие CMS:

   А такова динамика изменения популярности CMS: 


Если рассматривать с точки зрения безопасности, то SiteSecure публикует следующие данные:

Исходя из этого, сайты на платных CMS в среднем можно назвать более безопасными.

Помимо выше перечисленных, существуют и другие угрозы безопасности сайта: слабые, легко угадываемые пароли, неконтролируемый доступ к коду сайта, предоставление доступа к управлению сайтом непроверенным сотрудникам, чаще фрилансерам и др.

Мы постарались вывести общие рекомендации для соблюдения базовых мер безопасности:


Рассмотрим каждый из пунктов подробнее:

  1. Регулярно меняйте пароли.  Пароли могут быть подобраны, перехвачены в недоверенной сети и так далее, потому рекомендуется их менять хотя бы раз в 2-3 месяца.
    Конечно, при этом не стоит использовать простые пароли, пароли, совпадающие с логином, датой рождения и пр. Хороший пароль имеет длину от 8 символов, содержит большие и малые буквы и несколько цифр.

  2. Используйте защищенные протоколы. Для работы с файлами сайта на сервере лучше использовать защищенные от перехвата данных протоколы - FTPS, SFTP, SSH. Таким образом, можно быть уверенным в том, что на сервер попадут именно те данные, которые передавались и никто по дороге их не перехватит.

  3. Работайте с проверенными людьми. Довольно часто можно встретить непорядочных разработчиков, которые могут сделать копию данных для личных нужд, внедрить свой код в тело страниц и сделать еще массу нехороших вещей.
    Постарайтесь найти для работ на своем сайте человека, которому будет можно доверять, но и в этом случае подумайте перед тем, как давать ему права выше тех, которые нужны для выполнения задачи.

  4. Своевременно реагируйте на инциденты. Если, например, от хостинг-провайдера пришло сообщение, что с вашего аккаунта рассылается спам, а вы этого точно не делали - значит как минимум один из сайтов на аккаунте взломан.
    В таком случае необходимо как можно быстрее проверить код всех сайтов аккаунта на изменения, причем они могут быть не обязательно недавними - взломщики часто дают вредоносным скриптам "вылежаться" после того, как они были загружены на сервер.
    То же касается и любых других сообщений о работе вашего сайта - нельзя их оставлять без внимания.

  5. Не используйте имя "admin". Даже если у вас есть отличный пароль, использование стандартных имен пользователей облегчит взломщику работу как минимум вдвое.
    Создайте себе отдельный аккаунт с административными правами для управления сайтом, а пользователя по умолчанию лучше удалить, если CMS это позволяет.

  6. Используйте SSL - сертификаты. SSL-сертификат шифрует данные, которые передаются между вашим сайтом и клиентским броузером, таким образом можно быть уверенным, что данные клиента во время работы с сайтом нельзя будет перехватить.
    Стоит SSL-сертификат недорого - от $9 в год, но при этом повышают доверие пользователей к сайту и с недавних пор, позитивно влияют на позиции сайта в поисковых системах.

  7. Обновляйте программное обеспечение. Во всех системах управления сайтами регулярно находятся уязвимости и просто ошибки. Особенно это касается бесплатных CMS - открытый код легко доступен злоумышленникам для поиска ошибок программиста.
    Потому систему управления сайтом и дополнительные модули к ней крайне желательно обновлять сразу после выхода обновлений.

  8. Пользуйтесь мониторингом сайта. В сети есть масса сервисов, которые предлагают мониторинг разных аспектов жизнедеятельности сайта - блокировку поисковыми системами, зараженность вирусами и так далее. Не стоит этим пренебрегать, ведь чем раньше получится узнать о проблеме, тем меньшие последствия она повлечет за собой.
     
  9. Делайте бекапы вашего сайта. По статистике, 64% людей делают резервные копии своих данных раз в год или реже. Однако, когда еще вчера с сайтом все было отлично, а сегодня нет нужных данных, копия годичной давности мало чем поможет. Позаботьтесь об этом заранее, это несложно.
    Клиентам услуги виртуальный хостинг мы делаем резервные копии самостоятельно раз в день, а для остальных предлагаем услугу бекап-хостинг всего от $3 в месяц за 100 Гб места - это намного дешевле затрат на восстановление данных из старой копии или кеша Google.

  10. Используйте защищенный хостинг. Очень плохо, если с одного хостинг-аккаунта можно получить доступ к данным другого и к сожалению, у некоторых хостеров такое можно встретить. Наши хостинг-серверы от этого надежно защищены.

Мы рассмотрели наиболее частые проблемы с безопасностью сайтов и их решение. Надеемся, что этот материал был полезен для всех владельцев сайтов.