Как защитить и обезопасить свой сайт

165
Интернет-маркетолог

Оглавление:

Обезопасить веб-сайт – основная задача не только системного администратора или человека, выполняющего его роль, но и непосредственного владельца интернет-источника. 

Страшно представить, к чему способно привести пренебрежение безопасностью интернет-ресурса. Это может быть, как ухудшение поисковых позиций сайта, так и падение репутации компании в глазах её потенциальных и действующих клиентов, их полный и безвозвратный уход. К примеру, если посетитель зайдет на веб-сайт организации и при работе с ним заразит свою операционную систему, впечатления останутся явно негативными, а в некоторых случаях, сложившаяся ситуация вызовет вспышку агрессии по отношению к владельцу веб-ресурса.

Кроме того, при заражении серьезным вирусом может произойти и полная потеря своего сайта, что приведет к значительным финансовым затратам на разработку нового взамен утерянного.

По этим причинам, одной из самых приоритетных задач предпринимателя или руководителя организации, будет являться обеспечение комплексной защиты и безопасности функционирующего веб-сайта.

Стоит отметить, что сам по себе вирус на сайте, только в редких случаях попадает на него случайным образом, в преобладающем большинстве – это часть преднамеренной атаки, в ходе которой вирусный код играет лишь определенную вспомогательную или (в некоторых случаях) исполнительную роль в комплексе, сопровождаемом и другими способами нападения. Таким образом, процесс защиты нужно выстраивать не только  от вредоносных скриптов и кода, но и различных способов атак. К примеру, наиболее популярные среди хакеров Dos и Ddos-атаки являются первым шагом к нахождению уязвимостей, что повлечет за собой и процесс спланированного заражения или «вбросом» «трояна» – разновидности вируса, основная роль которой заключается в краже любого-вида данных.

Основные виды угроз

Несанкционированный доступ

Несанкционированный доступ к персональным данным пользователей, конфиденциальной информации, а также к любым сведениям, хранящихся в БД сайта. Способы получения доступности к базе веб-ресурса злоумышленниками могут быть, как с помощью заражения сайта вредоносным кодом, так и нахождения различного вида уязвимостей в системе безопасности.

Dos и Ddos-атаки, уже упомянутые нами ранее, хоть и не связаны с заражением источника вирусным кодом, но способны доставить большие проблемы владельцем интернет-ресурсов. До сих пор надежной 100% защиты от данного способа вредительства нет. Принцип основан на отправке массовых запросов с одного (Dos) или нескольких устройств, объединенных в сеть (Ddos), к серверу, на котором располагается веб-ресурс. В результате, система уходит в защиту (выдаётся код ошибки) или она «подвисает», что даёт возможность обнаружить «дыры» (на языке хакеров, обозначают уязвимости) для дальнейших действий, в том числе и загрузки вируса-трояна, который будет воровать и/или перенаправлять конфиденциальные важные данные своему «хозяину». Dos и Ddos атаки являются самыми популярными способами проверки защиты интернет-ресурса, потому что связаны не только с кражей информации, но и с каким-либо другим видом вредительства.

Все способы защиты от данного вида атак связаны с грамотной настройкой серверного оборудования и установленного на нем программного обеспечения. Выбор надежного хостинг-провайдера является ещё одной важной и неотъемлемой частью комплексной системы защиты. Запрет на приеме данных от пользователей, имеющих зарубежные IP-адреса, позволит  затруднить деятельность злоумышленников или выиграть время.

Стоит также упомянуть и SQL-инъекции, то есть запросы через адресную строку (используя GET-параметры) непосредственно к базе данных. Применив специальную комбинацию sql-запроса и при допущении данной возможности  со стороны сайта, злоумышленники смогут получить полный доступ к базе данных (БД), в том числе возможность скачать, удалить, изменить.

Чтобы защититься от данного способа манипулирования БД вашего веб-сайта,  потребуется использовать в коде только параметризованные запросы, хранимые процедуры, регулярные выражения, функции блокировки и отключить вывод сообщений об ошибке. Важно, чтобы доработкой системы безопасности занимался опытные веб-мастер и программист (не ниже уровня «Middle»). Не пытайтесь это сделать самостоятельно без соответствующих познаний, так это может нарушить целостность работы системы и приведёт к выходу веб-ресурса из строя.  

XSS-атака заключается в «краже» информации другого уровня – «файлов Cookies», что позволит получить доступ к информации пользовательских аккаунтов. Способ действия основан на внедрении на страницу веб-сайта кода-скрипта (js), который будет запущен автоматически при входе на сайт пользователем. В большинстве случаев, используется взлом сервера, на котором хранится сайт, или происходит его заражение вирусом. При совершении XSS-атаки злоумышленники могут не только красть данные пользовательских аккаунтов, но и  перенаправлять их на другие веб-сайты, открывать дополнительные окна, заражать ПК пользователей. Способы защиты заключаются в закрытыи возможности отправки в БД параметров POST и GET запросов напрямую, без предварительной проверки, а также те меры закрытия уязвимостей, которые применялись для инъекций-sql. Стоит отметить и необходимость реализации проверки заполняемых данных в формах сайта на наличие запрещённых символов и кода.

Со стороны владельца веб-сайта нужно быть всегда готовым к такому роду атак, особенно когда речь идет о высококонкурентной нише, где каждый привлекаемый клиент идёт «на вес золота».

Блокировка или ограничение доступности веб-сайта

Блокировка или ограничение доступности веб-сайта в интернете -  ещё одна распространенная проблема и угроза, с которой периодически сталкиваются компании различного уровня.

Ведёт за собой и ухудшение позиций в поисковых выдачах «Яндекса» и «Google».

Вредоносный код может попасть на сайт, как благодаря преднамеренным спланированным атакам, так и случайным образом, например, переняв вирус с ПК администратора, занимающегося его управлением и обслуживанием.

Заражение сайта

Заражение сайта с целью получения возможности атаки на пользователей сайта и дальнейшее распространение вируса в интернете. Как правило, связан с мошенническими действиями, основная цель – посетители веб-сайта и их устройства. В большинстве случаев, зараженный веб-ресурс является всего лишь переносчиком, запускающим специальный скрипт, который и распространяет вирусный код на устройства пользователей. Кроме вредительской деятельности, может осуществлять функции по сбору любого рода информации с ПК, ноутбуков, смартфонов и планшетов (чаще всего номера банковских карт и данные приложений от клиент-банка).

Специфические угрозы

Можно отметить и ещё несколько видов угрозы – «Специфические». Они не связаны напрямую с вирусным заражением, но способны значительно навредить бизнесу компании. Первый из них, - это «фишинг», который заключается в создании и размещении на сторонних интернет-площадках копии сайта с формами для ввода данных. Цель данной деятельности – кража конфиденциальных персональных данных посетителей и клиентов компании. Страшно представить, к чему способно привести попадание на копию сайта, полностью повторяющую «Сбербанк Онлайн». Единственная защита от фишинга – внимательность пользователей. Хоть и все популярные системы ведут борьбу с данным видом угроз, в интернет-сети периодически всплывают сайты-двойники.

Другим видом угрозы для сайта компании является массовая закупка внешних ссылок низкого качества на веб-сайт конкурента, что загонит его под «фильтр поисковых систем». Часто падение позиций в органической выдаче связывают с действием вредоносного кода, хотя на самом деле причина может быть именно в данном факторе. Чтобы защититься, регулярно следите за позициями веб-сайта, просматривайте сведения в панелях «Вебмастера». Особое внимание уделяйте такому показателю, как ТИЦ. Его неоправданно быстрый и резкий рост, как правило, и вызван происками злоумышленников.

Как узнать заражён ли вирусом сайт?

Первым сигналом того, что веб-ресурс инфицирован – бурная и острая реакция при его посещении со стороны «штатного» антивируса, установленного на ПК. Другим настораживающим фактором может являться резкое ухудшение позиций сайта в органической выдаче. Возможно также появление предупредительной надписи в сниппете веб-сайта о том, что источник заражен (на страницах появляется неестественный ему текст), работа  и прогрузка страниц отличаются «от стандартных».   

Чтобы проверить веб-ресурс, можно использовать средства сервисов «Яндекс Вебмастер» и «Google Webmaster», или с помощью сервиса: rescan.pro

Инструменты «Вебмастера» диагностируют веб-сайты регулярно и отображают статус с режиме реального времени.

После проверки сервисом отобразится отчёт с подробной информацией о состоянии сайта.

 

Многие хостинг-площадки имеют встроенный антивирус, который легко можно запустить всего за несколько кликов.

Ещё одним признаком наличия вредоносного кода, является присутствие постороннего тега «iframe».

Как защитить сайт от вирусов

  1. Делать регулярные резервные копии веб-ресурса. Важно, чтобы данные хранились на протяжении 6 месяцев, чтобы при заражении можно было «откатить» состояние до уровня, предшествующего времени возникновения данной проблемы.

  2. Использовать надежные сложные пароли.

  3. Установка защиты от «брута» (перебора комбинаций с целью определения подходящего) пароля, включение ограничения количества попыток ввода.     

  4. Для защиты доступа на выделенный сервер или хостинг, используйте двухуровневую процедура входа, с смс-информированием.

  5. Используйте надежный антивирус на рабочем ПК, с которого осуществляется работа с файлами на сервере.

  6. Запретите доступ с IP-адресов, по геоопределению не относящиеся к РФ.

  7. Подключить протокол https.

  8. Использовать отличный от стандартного способа входа, адрес для захода в панель-администрирования. Как правило, на популярных системах использованы http://site.ru/admin.php или  http://site.ru/manager.php. Поменяв путь к доступу, усложнится задача для происков злоумышленников.

  9. Выполнить запрет на ввод кода и спецсимволов в формах сайта.

  10. Не пересылать данные для входа на сайт и сервер/хостинг через корпоративную почту с общим доступом работников, а также через мессенджеры, социальные сети, sms.   

  11. Использовать надежного хостинг-провайдера, желательно, со встроенными средствами антивирусной защиты. Стоит сразу отказаться от бесплатных тарифов, надежность и безопасность которых желает лучшего.

  12. Пользоваться методами защиты базы данных от sql-инъекций, XSS-атак.

  13. По возможности отказаться от использования «самодельных» движков, систем управления контентом и администрирования сайта, так как могут наблюдаться колоссальные проблемы с точки зрения уязвимости веб-ресурса, за исправление которых придётся заплатить значительную сумму денег, потому что веб-программисты не любят работать с «чужим» кодом, особенно, если он не профессионально написан и в нём много «мусора».

  14. Если проект разработан или ещё разрабатывается на каком-либо фреймворке, привлеките к работе специалиста по информационной безопасности и защите. Это снизит риск обнаружения «дыр» (уязвимостей) хакерами со стороны веб-сайта (полностью исключить невозможно, так как даже на самую надежную систему, может найтись возможность преодоления системы безопасности профессиональным интернет-взломщиком).  

Что делать, если сайт заражен?

  1. Если хостинг поддерживает антивирус, воспользоваться им, запустив сканирование.

  2. Ограничить доступ к интернет-ресурсу, установив «заглушку» - защиту или отключить сайт в панели администрирования. Если данное действие не сделать, Вы рискуете навредить посетителям сайта, в том числе и вашим постоянным клиентам.

  3. Воспользоваться, сохраненным ранее, «бэкапом» до момента заражения и восстановить сайт к исходной точке. В большинстве случаев, если антивирус не смог помочь, восстановление – самый надёжный способ устранения проблемы.

  4. Проверьте наличие вредоносного кода во всех файлах вручную – если обладаете данными навыками, если нет – поручите штатному или удаленному (стороннему) веб-специалисту. Обращайте внимание на теги <iframe>, а также файлы JS, которые являются наиболее привлекательными с точки зрения вредоносного кода. Если используется CMS, то проверку стоит проводить не только в основных файлах, но и дополнительных, в том числе других тем и шаблонов.

  5. Проверьте базу данных и её целостность, наличие вируса в ней.

  6. Ограничьте права доступа остальным пользователям, удалите «подозрительных».

  7. Установите и устраните причину заражения, чтобы избежать повторного попадания вредоносного кода.

  8. По окончании включите сайт, проверьте его ещё раз с помощью стороннего сервиса-антивируса и инструментов «Вебмастера» в «Яндексе» и «Google».

В заключении, хотелось бы отметить один важный факт со стороны интернет-безопасности: к любой атаке нужно готовиться заранее, прорабатывая систему безопасности комплексно, не пренебрегая нюансами, так как именно благодаря им и происходит взлом с проникновением на ваш веб-ресурс. 

Не жалейте денежных средств на консультации со специалистами в данном направлении, так как их своевременная помощь может спасти вашу деловую репутацию, уберечь от серьезных финансовых и других проблем. Не забывайте и про защиту ПК, с которого производится управление и администрирование ресурса, своевременно и регулярно обновляйте антивирусное программное обеспечение.

Прочитайте еще

Как создать свой сайт в «Битрикс24»
Рассказываем о том, как создать свой сайт на базе нового конструктора от CRM «Битрикс24».Читать
Ценообразование в «Google Adwords»
В сегодняшнем материале рассмотрим факторы, влияющие на стоимость кликов в «Google AdWords»Читать
Хотите узнать все
подробности о своём
сайте, звоните:
8 800 200 47 80
(Бесплатно по России)
или
Оформить заявку
Заказать звонокМы перезвоним в течение 30 минут
Нажимая на кнопку отправить, вы даете согласие на обработку своих персональных данных
Оформить заявкуМы перезвоним в течение 30 минут
Нажимая на кнопку отправить, вы даете согласие на обработку своих персональных данных
Хочу работать
Форматы: DOC, DOCX, XLS, XLSX, TXT, PDF

Нажимая на кнопку отправить, вы даете согласие на обработку своих персональных данных
Нажимая на кнопку подписаться на новости, вы даете согласие на обработку своих персональных данных