россия
8-800-551-43-35
украина
0-800-211-575
+48 22 307 97 57
поддержка отдел продаж

Блог

10 советов для безопасности вашего сайта.

15 июля 2015 Комментариев нет
10 советов для безопасности вашего сайта.

Одна из самых важных проблем владельца сайта - безопасность. 

Если не уделять ей должного внимания, то велика вероятность получить головную боль в виде взлома сайта. Взлом приводит к неприятным последствиям: это и простой проекта, потеря трафика, репутации сайта, и, как следствие, потеря прибыли. 

Можно выделить 3 основных проблемы со взломанным сайтом:

1. Мобильный и обычный редирект на внешние сайты. Если факт  перехода на зараженный сайт фиксируется антивирусом, установленным у пользователя, то страдает репутация сайта, на который он хотел зайти. 

2. Динамические ссылки на уже зараженные сайты. Во всех случаях после обнаружения такой ссылки сайт попадет в черный список Google.

3. Статическая внешняя ссылка на зараженный сайт. К счастью, эта проблема проще и выявляется лучше, чем остальные. 

Исследования компании SiteSecure говорят о том, что Яндекс и Google в полной мере не обеспечивают своевременного выявления проблем безопасности на сайтах. Значит, необходимо уделять этому вопросу больше личного внимания и заниматься профилактикой и наблюдением за сайтом, в том числе не игнорировать установку антивирусов, пользоваться инструментами контроля статических ссылок и т.д. 

Существует также прямая зависимость безопасности сайта от используемой CMS: в 2014 году сайты на бесплатных CMS заражались вирусами в четыре раза чаще, чем  сайты на коммерческих платформах. 

Из чего следует, что лучше пользоваться платформами, не имеющими бесконтрольного доступа к коду. 

Согласно рейтингу систем управления сайтами (CMS) за июнь 2015 года самой большой популярностью пользуются такие CMS:

   А такова динамика изменения популярности CMS: 


Если рассматривать с точки зрения безопасности, то SiteSecure публикует следующие данные:

Исходя из этого, сайты на платных CMS в среднем можно назвать более безопасными.

Помимо выше перечисленных, существуют и другие угрозы безопасности сайта: слабые, легко угадываемые пароли, неконтролируемый доступ к коду сайта, предоставление доступа к управлению сайтом непроверенным сотрудникам, чаще фрилансерам и др.

Мы постарались вывести общие рекомендации для соблюдения базовых мер безопасности:


Рассмотрим каждый из пунктов подробнее:

  1. Регулярно меняйте пароли.  Пароли могут быть подобраны, перехвачены в недоверенной сети и так далее, потому рекомендуется их менять хотя бы раз в 2-3 месяца.
    Конечно, при этом не стоит использовать простые пароли, пароли, совпадающие с логином, датой рождения и пр. Хороший пароль имеет длину от 8 символов, содержит большие и малые буквы и несколько цифр.

  2. Используйте защищенные протоколы. Для работы с файлами сайта на сервере лучше использовать защищенные от перехвата данных протоколы - FTPS, SFTP, SSH. Таким образом, можно быть уверенным в том, что на сервер попадут именно те данные, которые передавались и никто по дороге их не перехватит.

  3. Работайте с проверенными людьми. Довольно часто можно встретить непорядочных разработчиков, которые могут сделать копию данных для личных нужд, внедрить свой код в тело страниц и сделать еще массу нехороших вещей.
    Постарайтесь найти для работ на своем сайте человека, которому будет можно доверять, но и в этом случае подумайте перед тем, как давать ему права выше тех, которые нужны для выполнения задачи.

  4. Своевременно реагируйте на инциденты. Если, например, от хостинг-провайдера пришло сообщение, что с вашего аккаунта рассылается спам, а вы этого точно не делали - значит как минимум один из сайтов на аккаунте взломан.
    В таком случае необходимо как можно быстрее проверить код всех сайтов аккаунта на изменения, причем они могут быть не обязательно недавними - взломщики часто дают вредоносным скриптам "вылежаться" после того, как они были загружены на сервер.
    То же касается и любых других сообщений о работе вашего сайта - нельзя их оставлять без внимания.

  5. Не используйте имя "admin". Даже если у вас есть отличный пароль, использование стандартных имен пользователей облегчит взломщику работу как минимум вдвое.
    Создайте себе отдельный аккаунт с административными правами для управления сайтом, а пользователя по умолчанию лучше удалить, если CMS это позволяет.

  6. Используйте SSL - сертификаты. SSL-сертификат шифрует данные, которые передаются между вашим сайтом и клиентским броузером, таким образом можно быть уверенным, что данные клиента во время работы с сайтом нельзя будет перехватить.
    Стоит SSL-сертификат недорого - от $9 в год, но при этом повышают доверие пользователей к сайту и с недавних пор, позитивно влияют на позиции сайта в поисковых системах.

  7. Обновляйте программное обеспечение. Во всех системах управления сайтами регулярно находятся уязвимости и просто ошибки. Особенно это касается бесплатных CMS - открытый код легко доступен злоумышленникам для поиска ошибок программиста.
    Потому систему управления сайтом и дополнительные модули к ней крайне желательно обновлять сразу после выхода обновлений.

  8. Пользуйтесь мониторингом сайта. В сети есть масса сервисов, которые предлагают мониторинг разных аспектов жизнедеятельности сайта - блокировку поисковыми системами, зараженность вирусами и так далее. Не стоит этим пренебрегать, ведь чем раньше получится узнать о проблеме, тем меньшие последствия она повлечет за собой.
     
  9. Делайте бекапы вашего сайта. По статистике, 64% людей делают резервные копии своих данных раз в год или реже. Однако, когда еще вчера с сайтом все было отлично, а сегодня нет нужных данных, копия годичной давности мало чем поможет. Позаботьтесь об этом заранее, это несложно.
    Клиентам услуги виртуальный хостинг мы делаем резервные копии самостоятельно раз в день, а для остальных предлагаем услугу бекап-хостинг всего от $3 в месяц за 100 Гб места - это намного дешевле затрат на восстановление данных из старой копии или кеша Google.

  10. Используйте защищенный хостинг. Очень плохо, если с одного хостинг-аккаунта можно получить доступ к данным другого и к сожалению, у некоторых хостеров такое можно встретить. Наши хостинг-серверы от этого надежно защищены.

Мы рассмотрели наиболее частые проблемы с безопасностью сайтов и их решение. Надеемся, что этот материал был полезен для всех владельцев сайтов.