Взлом чужих сайтов – довольно прибыльное дело. Неудивительно, что злоумышленников в Сети пруд пруди. Если кто-либо без вашего на то согласия получает доступ к серверу с файлами вашего сайта, то он его взломал. И неважно, как это произошло, грубой силой технической атаки на сервер, хитростью или подглядыванием пароля через плечо. Важен результат: кто-то может совершать действия от имени домена вашего сайта на своё усмотрение.
Зачем это может понадобиться кому-то? Чаще всего сайты ломают для того, чтобы распространить вирус среди людей, которые их посещают, рассылать спам с сервера жертвы и размещать вредоносные ссылки, ведущие к сайтам злоумышленников. Также нередки случаи целенаправленного взлома ради кражи информации, шантажа с предложением прекращения вредоносных действий за определённую сумму. Да и просто порча бизнеса – привет от конкурентов. Вариантов хватает.
Какие виды опасностей для сайта самые популярные в Интернете?
Самая распространённая ситуация – кража пароля от чего-либо. Фишинг, метод подбора, хитрость – неважно, как это происходит. Почта, банкинг, админка своего сайта, соцсети – всё под защитой паролей. Узнав один из них, можно подобраться и к остальным, получив уведомления на почту, войдя в аккаунт чего-либо через клиент соцсети и т. д. Лазеек хватает.
Дальше – вирусы. Их много и вредить они могут по-разному. Шантажи, показы рекламы, скрытая слежка, порча файлов, сбои – да что угодно! Как правило, если компьютер начал вести себя странно, то есть стандартные сценарии действий в системе изменились – пора проверить ПК на вирусы. Но не всегда. Иногда ничего не происходит, а проблемы, как оказывается, есть. Проверяйте время от времени систему хотя бы встроенным антивирусом, регулярно обновляя базу. Также не стоит скачивать и устанавливать всё подряд откуда попало, переходить по ссылкам из непонятных писем, открывать картинки и т. д.
Довольно распространена уловка – подмена известных сайтов. Открываете ссылку, а там страница с дизайном ресурса, к примеру, «М-Видео», и идёт какой-то розыгрыш призов. Вы, понятно, выигрываете, после чего нужно заполнить форму для обратной связи. Это сбор личных данных для спама и прочего. Куда бы вы не переходили из непонятных ссылок, обращайте внимание на название домена. Если сайт выглядит как «М-Видео» или другой узнаваемый ресурс, посмотрите в адресную строку и убедитесь, что это его настоящее доменное имя.
Общий смысл всех опасностей в том, что кто-то хочет получить доступ к вашим личным данным или использовать ресурсы вашего ПК/сайта в своих целях. Рассылка спама, вымогательство, продажа личных данных, грабёж счетов, скрытый майнинг или включение в бот-сеть – мотивов у злоумышленников много, как и способов подобраться к цели. Нужно быть начеку и принимать меры, чтобы не стать лёгкой добычей.
Что делать, чтобы обезопасить свой ресурс?
Безопасность сайта не так уж трудно поднять на хороший уровень, нужно лишь придерживаться здравого смысла и соблюдать не особо сложные технические моменты.
Пароли
Используйте сложные пароли и неочевидные логины (admin, 123456, почта, номер телефона и т. д. отпадают). Причём, желательно использовать разные данные входа для почтового аккаунта, сайта, соцсетей и прочего. Универсальный пароль от всего – удобная вещь, но не очень надёжная. Также периодически нужно менять пароли, составляя их из цифр, букв и спецсимволов. 14 знаков – нормальная длина хорошего пароля. Такие данные нельзя размещать в открытом доступе, на ПК файл с паролями тоже хранить нежелательно.
Антивирус и VPN
Эта пара программ в значительной степени увеличивает общий уровень цифровой гигиены. Благодаря VPN, который обеспечивает шифрование трафика, практически невозможно перехватить личную информацию. Особенно важно его использовать, работая с общественными Wi-Fi-сетями (кафе, аэропорты, чужие открытые сети и т. д.).
Кстати, VPN также поможет обойти блокировку сайта, если его по каким-то причинам блокирует провайдер.
Антивирус – программа, с которой знаком практически каждый пользователь ПК. Ведь вредоносный вирус, проникший на личный рабочий компьютер, может испортить всё. Кража файлов, паролей, скрытый майнинг, включение в сеть ботнета для запуска DDoS-атак – вариантов угроз хватает. Крайне желательно использовать платные версии антивирусов, причём проверенных, завоевавших хорошую репутацию у других пользователей. То же касается и VPN. Ноунеймы вообще не рекомендуем использовать, от них частенько больше вреда, чем пользы.
Хостинг
Очень важен выбор надёжного хостинга с максимальным перечнем защит. Круглосуточная доступность серверов, быстрое устранение технических неполадок в случае их возникновения, частые резервные копии сайта и логирование событий. При выборе стоит ориентироваться на отзывы пользователей и долгожительство бренда. Как правило, если платформа находится на рынке 10 и более лет, то ей можно доверять, не особо вникая в остальные нюансы. Также не помешает посмотреть рейтинги и результаты тестирования провайдеров хостинговых услуг.
Выбор CMS
Платность или бесплатность движка особой роли не играют. Важно понимать, что чем более платформа популярна, тем интереснее она для злоумышленников, ведь найдя очередную дыру в безопасности, можно взломать потенциально большее количество сайтов. С другой стороны, динамично развивающиеся движки часто обновляются, обрезая лазейки для их взлома. Вывод – важно регулярно обновлять CMS, а вместе с ней – модули, плагины, компоненты и прочее, чтобы не нарушить совместимость движка и расширений.
Желательно выбирать CMS, которая поддерживает двухфакторную аутентификацию, обладает набором встроенных инструментов по безопасности сайта, умеет разграничивать права доступа пользователей, а также логировать все действия в системе. Также важен уровень техподдержки у платных систем и регулярные обновления для любых из них.
Выбор рабочих компонентов
Для всего ПО, которое вы используете для работы сайта, есть общее правило: нельзя скачивать взломанные платные CMS, шаблоны, плагины и прочее. Любые компоненты сайта нужно качать/устанавливать только с официальных, проверенных источников: официальных сайтов, встроенных библиотек систем, сайтов проверенных разработчиков и маркетплейсов. Качая ломаное, вы рискуете уже на старте заразить свой ресурс чужими ссылками, зловредным кодом и т.д. Поверьте, экономия того не стоит. Нужен хороший шаблон, важный плагин или ещё что-то – купите их. Не так уж всё это дорого стоит.
SSL-сертификат
Эта вещь подключается к домену и позволяет шифровать данные, передаваемые из браузера пользователя на сервер. Она подтверждает подлинность домена. Вместо обычного HTTP, ресурс с SSL-сертификатом получает обозначение HTTPS в адресной строке. Критически важный параметр для веб-ресурсов, которые проводят платёжные операции. Также наличие сертификата положительно сказывается на ранжировании ресурса в поисковых системах. В общем, мастхэв во всех смыслах.
Перегрузка расширениями
Плагины, модули, компоненты и всё в таком духе способны значительно расширить возможности сайта. Но не стоит перебарщивать с их количеством. Устанавливайте только явно необходимые, причём качественные, из проверенных источников. «Левые» расширения часто не обновляются и несут в себе кучу потенциальных рисков. Общий смысл таков: голую CMS, то есть без плагинов, взломать труднее, чем перегруженную ими. Особенно это касается расширений, что создаются сторонними разработчиками, которые не доказали свою надёжность.
Пример: установили плагин для оставления пользователями комментариев низкого качества, а хакер вместо комментария заливает на ресурс свой скрипт, через который потом устроит его взлом. Подобных комбинаций масса. Пользуйтесь проверенными плагинами, которые отлично отрабатывают у других владельцев годами.
Установка прав доступа к файлам сайта
При установке значения прав доступа «777» на любой файл сайта, любой пользователь сможет записать в него данные, прочитать и выполнить файл. Такая беспечность ведёт к тому, что однажды на сайт забросят какой-нибудь PHP-код, который его «положит» и предоставит злоумышленнику полный контроль над ресурсом.
Среднестатистически правильный подход заключается в том, чтобы устанавливать права со значением «755» на все папки и «644» на все файлы сайта. А вообще, нужно к каждой ситуации подходить индивидуально, посоветовавшись с программистом или хостером. Неудачное изменение прав доступа может привести к сбоям в работе ресурса.
Журналирование действий и резервные копии
Хорошо, если ваш хостинг позволяет делать бэкапы сайта раз в сутки. Это оптимально для серьёзных проектов. Нормально – 2 раза в неделю. Дело не только во взломах и потере данных. Если что-то пойдёт не так, неважно почему, то вы сможете быстро откатиться до работоспособной версии ресурса и продолжить работу. Лог-файлы содержат полный перечень запросов, отправляемых на сервер, поэтому очень полезны при выявлении дыр в безопасности. Сохраняйте их почаще.
Выводы
Основная угроза безопасности сайта в интернете – беспечность его владельца. И так сойдёт, да нормально, пусть будет, а зачем? С таким подходом почти наверняка рано или поздно начнутся проблемы. И у сайта, и у владельца. От убытков в бизнесе до штрафов или даже уголовной ответственности за нарушение законодательства от имени вашего домена, то есть вас как его владельца.
Обеспечить приемлемый уровень безопасности нетрудно. Такой, который создаст проблемы для целенаправленных действий злоумышленников и не позволит стать случайной жертвой кем-то расставленных ловушек.
Сложные пароли, VPN и антивирус на 80% гарантируют личный комфорт работы в Интернете. В дополнение к ним грамотный выбор хостинга и его тонкая настройка, CMS, расширений, а также подключение SSL-сертификата обеспечат добротный уровень безопасности веб сайта. Не стоит полагаться на удачу, она рано или поздно наказывает халатность своим уходом. Выполнения перечня указанных действий будет достаточно в большинстве случаев для нормальной работы в Сети.
