Ни один сайт не является полностью защищенным от хитроумных атак. Но большинство коммерческих и информационных площадок взламывается не по заказу, а в автоматическом режиме – роботами, обнаруживающими типичные уязвимости. Как избежать подобной опасности, расскажем в статье.
Специалисты постоянно повторяют: надежная защита должна быть комплексной. То есть нельзя полностью довериться известному хостинг-провайдеру или знакомому разработчику, забыв об антивирусе на собственном компьютере. Хакеры могут получить доступ к сайту, просто подобрав пароль к панели администратора с помощью «трояна» на ПК пользователя или перехватив подключение по незащищенной сети Wi-Fi. Поэтому следует внимательно относиться ко всем деталям, касающимся работы сайта.
Управление и поддержка CMS
Конечно, идеальный вариант – это использование коммерческой версии и содержание собственного штата системных администраторов и специалистов по безопасности. Но такое доступно далеко не каждому владельцу сайта, поэтому остановимся на обязательных мерах по защите, которые можно реализовать самостоятельно:
- Установить Web Application Firewall (WAP). Разработчики многих CMS предлагают готовые плагины, как платные, так и бесплатные. Они отражают известные атаки хакеров и блокируют попытки внедрения вредоносных скриптов.
- Регулярно обновлять CMS и плагины. Хакеры постоянно обнаруживают новые уязвимости, а разработчики в том же режиме устраняют «дыры», используемые злоумышленниками. Чем свежее версия «движка», тем меньше вероятность получения вируса.
- Не использовать сомнительные плагины. Для популярных CMS, таких как WordPress, существует большое количество готовых решений, помогающих расширить функциональность сайта или просто сделать его привлекательнее. Помимо этого, нередки обращения владельцев сайтов к неопытным разработчикам с просьбами что-то переделать или изменить «побыстрее и подешевле». И в том, и в другом случае велик риск получить либо просто уязвимый, либо изначально вредоносный код.
- Регулярно проверять сайт антивирусом. Здесь важно отметить, что для ПК и для сайтов программы разные, и необходимо использовать именно те, что предназначены для веб-ресурсов. К счастью, среди них существуют бесплатные и при этом достаточно надежные. Для большего спокойствия рекомендуется периодически использовать разные антивирусы. И, конечно, нельзя забывать про компьютеры всех, кто имеет доступ к сайту и базам данных – для них нужна постоянная защита.
- Ограничить доступ к файлам скриптов и шаблонов. Эта мера нужна для того, чтобы хакеры не смогли изменить что-то в файлах, доступных посторонним только «для чтения». Однако далеко не всегда ей можно воспользоваться в полном объеме, поскольку ограничения могут негативно сказаться на работе сайта в целом. Для реализации такой защиты следует обратиться к специалистам, знающим особенности CMS и внимательно относящимся к безопасности сайта.
Кроме этого, следует грамотно организовать выполнение всех работ по поддержке и наполнению сайта, но об этом речь пойдет дальше.
Сотрудничество с хостинг-провайдером
В первую очередь стоит воздержаться от выбора самых дешевых предложений от никому не известных компаний. Как правило, они просто не в состоянии обеспечить нужный уровень безопасности. А для защиты сайта важно следующее:
- Наличие выделенного аккаунта. Даже если на одной площадке размещается несколько сайтов одного владельца, каждый из них должен быть изолирован. В таком случае при заражении одного ресурса остальные не пострадают. Некоторые хостинг-провайдеры сами обеспечивают изоляцию друг от друга сайтов, размещенных на одном аккаунте. Но если выбранный хостинг такой услуги не предоставляет, стоит заказать для каждого проекта отдельное место размещения.
- Надежность провайдера. Как правило, известные компании сами обеспечивают достаточно высокий уровень безопасности для сайтов клиентов. Но если речь идет о защите коммерческого сайта, стоит заранее узнать, насколько быстро выявляются и устраняются проблемы, если они возникают.
- Техническая поддержка. Если заражение все-таки произошло, специалистам по «лечению» сайтов могут понадобиться логи, хранящиеся у провайдера, и важно, чтобы они действительно были и предоставлялись по первой просьбе. И в любом случае необходимо регулярное выполнение резервного копирования.
Если имеющийся хостинг вызывает сомнения, лучше сменить его на более надежный, не дожидаясь неприятностей. А при выборе нового провайдера и тарифа стоит внимательно изучить предлагаемые услуги и качество их выполнения.
Управление персоналом
Даже если сайт надежно защищен разработчиком, а хостер-провайдеру доверяют крупные компании, расслабляться рано. Взлом может быть выполнен банальным подбором логина и пароля администратора или любого другого специалиста, имеющего доступ к сайту, – разработчика, SEO-специалиста, контент-менеджера или секретаря, выкладывающего новости. Для предотвращения такой ситуации специалисты рекомендуют:
- Регулярно обновлять антивирусы на компьютерах всех, кто работает с сайтом. При этом желательно использовать платные версии.
- Раз в месяц проводить полное сканирование компьютеров этих сотрудников.
- С разумной периодичностью менять пароли. И следить, чтобы каждый раз они были сложными, состоящими не менее, чем из 10 букв разного регистра, цифр и символов.
- По возможности установить двухфакторную аутентификацию для панели администратора. Самый простой вариант – указать IP-адреса, с которых разрешен доступ. При использовании динамических IP можно указать диапазон их значений.
- Установить права доступа только в необходимом объеме. Например, тем, кто выкладывает тексты и картинки, не нужен уровень доступа программистов. В результате, если хакер подберет или перехватит пароль рядового сотрудника, он не сможет добраться до важных файлов.
Отдельного внимания требует работа с подрядчиками. Здесь нужно предусмотреть следующее:
- Обязательное заключение договора. Рекомендуется прописать все подробности сотрудничества, включая определение конфиденциальной информации в конкретном случае, санкции за ее разглашение или утечку по вине подрядчика, требования к обеспечению безопасной работы с сайтом (использование защищенного подключения, сложного пароля и т.п.). Если исполнитель окажется недобросовестным или просто небрежным, договор пригодится для решения спорных вопросов.
- Проведение инструктажа до начала работы. Да, нанимая фрилансера, невозможно проконтролировать, как на самом деле он будет действовать. Но ознакомить каждого подрядчика с элементарными правилами нужно. К ним относятся: использование антивируса на ПК и только защищенного подключения (VPN или просто запрет на работу по Wi-Fi в общественных местах), неразглашение пароля, внимательное отношение к защищенности собственного компьютера.
- Удаление аккаунта пользователя сразу после окончания работы. Даже если исполнитель не выполнял все требования и «засветил» пароль, воспользоваться его данными хакеры уже не смогут.
И, конечно, для подрядчиков действует то же правило, что и для сотрудников: только те права доступа, которые действительно нужны.
Это не паранойя?
Нет. Более того, даже этих мер в совокупности может оказаться недостаточно. И внимательное отношение ко всем перечисленным пунктам только уменьшает риск взлома, но не исключает его полностью. Впрочем, пока хакеры стремятся получить свое, никто от вирусов не застрахован. А тех, кто полагает, что «мой-то сайт им не нужен», приглашаем ознакомиться со статьей, где мы рассказывали о поводах для взлома: https://promoteh.ru/articles/_aview_b345