росія
+7 499 112 48 23
україна
0 800 211 575
україна
+38 089 120 57 22
+48 22 307 97 57
підтримка відділ продажів

Блог

Як захистити сайт від злому

23 грудня 2019 Комментариев нет
Як захистити сайт від злому

Будь-який інтернет-ресурс, що знаходиться у відкритому доступі, стає потенційною мішенню для зловмисників. Причин для злому сайту може бути кілька, починаючи від нанесення шкоди репутації вашої компанії або отримання матеріальної вигоди і закінчуючи банальним хуліганством. Але в будь-якому випадку злом завдасть шкоди сайту - тому варто заздалегідь вивчити і способи, якими користуються зловмисники, і методи, якими можна зловмисникам протистояти.


Способи злому сайтів

При зломі сайту цілі цілі можуть бути різними:

  • Повне або часткове перехоплення керування ресурсом з можливістю копіювати дані/бази даних, видаляти, редагувати або публікувати інформацію на сторінках.

  • Повна або часткова зупинка роботи - сайт або просто «лягає», або ж працює з перебоями (зниження швидкості роботи, непрацездатність окремих функцій).

  • Використовувати ресурси хостингу з метою зловмисника - наприклад, для запуску криптомайнера, розміщення фішингових сторінок, розсилання спаму і т.д.

  • Нерідко зловмисники зламують сайти без чіткої мети, для розваги або відточуючи певні навички. 

Залежно від поставленої зловмисниками мети злом може відбуватися по-різному. Найбільш поширені способи:

  • SQL-ін'єкції, шелли, XSS-атаки.

  • Злом через SSH або FTP для отримання доступу до адміністративної панелі сайту.

  • Брутфорс адміністративної панелі з підбором паролів і логінів.

  • Використання вразливості в скриптах CMS і плагінах, які дозволяють прописати шкідливий код.

  • DDOS-атаки, при яких на сервер надходить велика кількість запитів, що призводить до непрацездатності ресурсу.

Варто мати на увазі, що в ряді випадків злом виконується опосередковано, через менш захищені сайти, розташовані на тому ж хостингу, що і сайт-мішень. При цьому спочатку зловмисник отримує доступ до менш захищених ресурсів на хостингу, а потім страждають розташовані на цьому ж хостингу сайти з задовільним (на перший погляд) захистом.

Тут зауважимо, що у нас така ситуація неможлива, тому що дані різних клієнтів надійно ізольовані один від одного. Але, в межах одного хостинг-акаунту у всіх сайтів є доступ до всіх даних, тому ми рекомендуємо клієнтам для кожного важливого сайту зареєструвати окремий акаунт на хостингу. 


Чим небезпечний злом: можливі наслідки

Злом сайту - інцидент неприємний сам по собі, тому що будь-які неполадки в роботі відбиваються і на репутації компанії, і на ефективності бізнес-процесів. Але при цьому різні види злому можуть призводити до різних наслідків:

  • При втраті паролів або їх зміні зловмисником власник повністю втрачає контроль над ресурсом та інформацією, що зберігається на серверах.

  • DDOS-атака робить сайт непрацездатним, що критично для інформаційних порталів, новинних сайтів і інтернет-магазинів (репутаційні та фінансові втрати можуть бути колосальними).

  • При крадіжці баз даних все залежить від характеру викраденої інформації. Клієнтська база зазвичай використовується для спам-розсилок, платіжні дані клієнтів можуть застосовуватися для фінансових махінацій.

  • Сам сайт при зломі може використовуватися як майданчик для показу реклами або для переадресації користувачів на сторінки з шкідливими скриптами. В останньому випадку будь-який відвідувач вашого сайту ризикує отримати на свій ПК або смартфон кілька вірусів - велика частина з них налаштована на отримання доступу до пристрою або розкрадання персональних даних.


Навіть якщо прямих фінансових збитків і втрати контролю вдасться уникнути, збиток буде відчутним. Скорочення трафіку через технічні проблеми і шкоду репутації практично гарантовано. Крім того, злом сайту - це привід для санкцій з боку пошукових систем, тому нехтування безпекою зведе нанівець всі вкладення сил і засобів в пошукове просування і SEO оптимізацію. 


Способи захисту

Щоб не допустити злому сайту, а при спробах несанкціонованого проникнення успішно їм протистояти, потрібно приймати цілий комплекс заходів. Захист ресурсу від злому - це той випадок, коли «чарівної таблетки» не існує: потрібно перекривати всі можливі шляхи надходження шкідливих програм, і постійно працювати над підвищенням рівня безпеки.

Тут варто виділити кілька напрямків роботи. Перша - це захист комп'ютера адміністратора. Найпростіший спосіб отримати доступ до ресурсу - контролювати ПК, з якого ведеться управління. Тому наявність ефективного антивіруса стає не просто бажаним, а необхідним. 

Важливо! Не варто забувати про людський фактор. Адміністратор сам може використовувати скомпрометовані паролі доступу - дуже часто саме цим і користуються зловмисники. Вирішується ця проблема організаційними заходами і налагодженою системою контролю. Ну, і підбором адміністратора з достатньою кваліфікацією, звичайно!

Крім того, потрібно приймати і інші заходи - при цьому максимальну ефективність вони демонструють саме при комплексному впровадженні.

Захист сервера

Запобігти несанкціонованому доступу до інформації на сервері можна декількома способами:

  • Розмежування рівнів доступу до баз даних та іншої важливої інформації.

  • Відстеження дій користувачів, в першу чергу - того, що вони вводять на сайті.

  • Систематична зміна паролів з використанням максимально безпечних (тобто складних і стійких до підбору методом брутфорса) поєднань.

  • Регулярне створення резервних копій.

Крім того, ефективним заходом буде перейменування папок і файлів (зловмисники використовують стандартні назви), а також закриття доступу до хостингу або багатофакторна верифікація входу (наприклад, з підтвердженням по SMS).


Надійний хостинг

Вище ми говорили, що дуже часто злом здійснюється опосередковано - в якості «стартового майданчика» використовуються сусіди по хостингу, які не мають достатнього захисту. Але це - лише одна з причин, за якими до вибору хостингу для сайту потрібно підходити максимально відповідально.

Наспавді роль хостингу в забезпеченні захисту від злому переоцінити складно. Компанії, що надають такі послуги, піклуються про репутацію - тому якісний хостинг сам робить все можливе для блокування стороннього доступу. Плюсом буде і можливість створення резервних копій, і великий інструментарій для розмежування рівнів доступу, і навіть адекватна технічна підтримка (якщо вона дійсно працює, то при спробах злому допомога технічного фахівця буде неоціненною).

Також рекомендуємо використовувати інструменти, які пропонує хостинг-провайдер. Так, наприклад, сайти наших клієнтів регулярно автоматично скануються на поширені вразливості і можливий злом. Якщо ви отримали таке попередження від хостера, на нього варто відреагувати якнайшвидше.

Надійна CMS з усіма свіжими оновленнями

Система управління контентом - CMS - теж потребує захисту. Основним завданням тут стає не тільки вибір CMS з хорошими показниками стійкості до злому, але і регулярне оновлення двигуна ресурсу.

Як правило, чим новіше встановлена версія, тим менше в ній помилок і потенційно-вразливих місць. Звичайно, з часом з'являються нові дірки в захисті - але їх розробники «латають» досить успішно. 

Оновлювати CMS можна або автоматично, або в ручному режимі. Використання оновленої версії значно знижує ризик успішних SQL-ін'єкцій, атак за допомогою Шелл або XSS.


SSL-сертифікат

SSL-сертифікат — це цифровий підпис вашого ресурсу, в якому міститься доменне ім'я, відомості про власника ресурсу (підприємець/юридична особа), адреса власника і т.д. крім того, в SSL-сертифікат включають інформацію про те, яка компанія його видала та про термін його дії. 

Використання SSL-сертифікатів дозволяє ефективно захистити сайт від фішингу (крадіжки особистих і фінансових даних), які здійснюються шляхом злому сусідів по хостингу, отримання доступу до phpMyAdmin або SQL-ін'єкцій.

Для отримання сертифікату SSL необхідно звернутися в спеціалізовану компанію, яка видає цифрові підписи (процедура сертифікації платна). Деякі хостинги безкоштовно надають SSL-сертифікати для сайтів - якщо така можливість є, варто нею скористатися і для економії, і для підвищення рівня захисту від злому.


Перевірені скрипти

При завантаженні додаткових програм і скриптів варто використовувати тільки ліцензійне ПЗ. Завантажувати дані варто тільки з офіційних ресурсів - інакше є ризик, що ви своїми руками «занесете» на сайт вірус, шелл або бекдор - і після цього ризик злому ресурсу значно зросте.


Захисні плагіни

Можливості CMS по захисту сайту від злому можна розширити шляхом установки додаткових плагінів. Вибір їх досить великий, функціонал різноманітний - так що можна знайти рішення і для «фонового» захисту від вірусів, і для систематичного ефективного сканування, і для створення резервних копій важливої інформації.

Приклади таких плагінів:

  • Wordfence

  • iThemes Security

  • Sucuri Security

Деякі плагіни універсальні, деякі - сумісні тільки з конкретними CMS.


Висновок

Яка б технологія не використовувалася для злому сайту, несанкціонований доступ до ресурсу може завдати значної шкоди (і фінансової, і репутаційної). При цьому захищатися від злому потрібно комплексно, починаючи від вибору хостингу і підбору досить захищеної CMS і закінчуючи регулярною зміною паролів. Тільки в цьому випадку всі можливі напрямки атаки будуть перекриті - і ризик злому буде мінімальним.