Зачем нужна повышенная безопасность сайта?

Безопасность сайта: зачем нужна и как повысить

Учитывая то, что на данный момент большая часть бизнеса полностью или частично находится в Сети, то безопасность сайта можно смело отнести к безопасности самой компании. Так что пренебрегать ею никогда не стоит, если вы хотя бы немного заинтересованы в сохранении бизнеса.

С каждым годом количество хакерских атак на веб-ресурсы растет. Причем происходит это с колоссальной скоростью. Если в 2012 году компанией Google было зафиксировано порядка 186 000 атак злоумышленников, то уже к 2016 году их число возросло до 800 000. Специалисты связывают это с ростом общего количества сайтом, ведь с каждым годом их становится все больше, а, значит, растет и конкуренции в Сети.

Хакерским атакам подвергаются не только государственные сайты, веб-ресурсы крупных корпораций и банков, но и другие страницы, с невысоким уровнем безопасности. Среди них вполне могут оказаться небольшие интернет-магазины, корпоративные сайты средних компаний, а также обычные landing page или персональные блоги.

Существует несколько типов атак сайтов:

• DDos-атака

Данная атака работает очень просто – злоумышленники провоцируют запуск большого количества запросов на одну страницу, из-за чего сервер сайта может быстро исчерпать ресурс на их обработку. Результатом такой атаки становится «белый экран» вместо веб-страницы.

• Взлом сайта

Во время взлома сайта хакеры получают полный или частичный доступ к вашему сайту, вследствие чего может возникнуть ряд трудностей, таких как:

1. Полное или частичное удаление веб-ресурса.
2. Заражение сайта вредоносным кодом, то есть – вирусом. Злоумышленники размещают на вашем сайте вирус, после чего он распространяется на всех пользователей, которые заходят на страницу. В результате вы теряете репутацию и клиентскую базу, а кроме этого получаете санкции от интернет-организаций и попадаете под фильтр поисковых систем.
3. Получение доступа к рабочей информации. Во время хакерских атак могут быть взломаны ваши базы данных, в том числе перечень клиентов компании и их заказов.
4. Внесение изменений в настройки сайта. В этом случае могут возникнуть самые разные трудности, в том числе и закрытие ресурса от индексации поисковых систем. Как результат – страница полностью пропадает из их выдачи.

Для чего хакеры взламывают веб-ресурсы?

Мотивация злоумышленников может быть самой разной, однако самыми распространенными являются несколько причин:

1. Деньги. Хакеры могут быть такими же наемными работниками, как и многие другие – просто у них очень необычная специальность. Атаку на ваш сайт они могут совершить, просто выполняя очередной заказ (вероятно, от ваших завистников или конкурентов). Тем более, что расценки на их услуги стартуют всего лишь от 30 долларов.
2. Нейтрализация конкурентов. Хакерская атака может быть попыткой конкурентов устранить вас, если вы слишком активно и успешно, по их мнению, продвигаете свой сайт. В данном случае речь может также идти о недобросовестных специалистах по SEO-продвижению, которые таким образом расчищают себе дорогу к топовым позициям.
3. Тренировки или же отработка новых навыков. Да-да, вы можете стать жертвой обстоятельств, а точнее – обычным тренажером для хакеров. Надо же им с чего-то начинать? А ваш сайт со слабенькой защитой как раз вовремя подвернулся под руку.

Как вы уже наверняка поняли – игнорировать безопасность сайта категорически нельзя – всегда найдутся причины для того, чтобы именно ваш проект заинтересовал злоумышленников. Для того, чтобы нейтрализовать последствия атаки, вам придется потратить немало времени, денег и сил для того, чтобы вернутся на прежние позиции.

Согласно статистике за 2016 год, сайты, разработанные на популярных платформах, чаще всего подвергаются хакерским атакам. Из них 74% приходятся на WordPress, 13% — на Joomla, 6% — на самописные CMS, 5% — Magento, и 2% — на Drupal. Вероятнее всего причиной стала общедоступность систем любому пользователю для изучения, их структуры и общего принципа работы.

Естественно, что после всего вышеперечисленного возникает вопрос – стоит ли отказываться от создания сайта на одной из упомянутых платформ? Конечно же нет – их использование обойдется вам значительно дешевле, чем самописные CMS, а развивать и продвигать сайт будет легче.

К примеру, если идет речь о платформе WordPress, то можно провести ряд мероприятий для повышения уровня безопасности вашего веб-ресурса.

Как повысить уровень безопасности сайта

Итак, начнем со стандартных приемов для повышения базового уровня безопасности:

1. Настройка ЧПУ (человеко-понятных URL) для адреса вашей страницы

• без проведения настройки ЧПУ. Если вы игнорируете данную настойку, то злоумышленники могут с помощью SQL-инъекций (внедрение в данные произвольного SQL-кода) получить логин и пароль для получения доступа к системам управления страницей.
• когда вы проводите надлежащую настройку ЧПУ, то возможность взлома сайта посредством адресной строки сводится к нулю. Именно поэтому ЧПУ является обязательным действием во время внутренней SEO-оптимизации ресурса.

2. Удаление лишних плагинов и тем

Во время установки CMS очень часто происходит автоматическая инсталляция ее бесплатных компонентов, таких как темы, плагины и пр. Злоумышленники могут использовать их в качестве лазеек, так что для того, чтобы перекрыть им все возможные пути для взлома необходимо удалить абсолютно все компоненты, которые не участвуют в работе сайта.

Это очень распространенная ошибка начинающих разработчиков, которые забывают проверить этот компонент безопасности сайта.

Кстати, если речь идет о файлах настройки, то их тоже следует удалить сразу же после инсталляции на основном хостинге. Они являются серьезной уязвимостью для веб-страницы.

3. Использование лицензионных плагинов

Если вы на самом деле хотите обеспечить безопасность своего сайта, то стоит использовать исключительно лицензионные компоненты сайта. Пиратские копии могут создать там множество уязвимостей, которые вы даже не сразу заметите.

4. Настройка https-протокола

«https» — это протокол шифрования данных пользователя. Для обеспечения дополнительной безопасности они отправляются на сервер через различные формы. Он появился относительно недавно и изначально использовался для защиты крупных корпоративных сайтов и банковских систем, но сейчас его все чаще используют во всем мире. Однако, в Украине и ближайших странах он по-прежнему остается практически неизвестным.

«https» удобен тем, что он не дает возможность хакерам перехватить ваши данные, когда вы, к примеру, заходите в административную панель сайта.

5. Ограничение доступа к административной панели через ip-адрес

В данном случае ограничения доступа к системе управления происходит за счет того, что помимо совпадения логина и пароля, должно быть также совпадение ip-адреса с которого пользователь заходит в административную панель. В системе можно создать перечень допустимых  ip-адресов.

6. Установка запроса captcha при входе

Злоумышленник не сможет подобрать логин и пароль к системе администрирования сайта с помощью автоматизированных систем.

7. Нестандартный URL-адрес административной панели

Главной слабостью всех популярных платформ (а их не так уж и много) является то, что их конфигурацию легко вычислить. К примеру, если вы хотите зайти на административную панель сайта, который разработан на WordРress, то достаточно просто ввести www.адрес-страницы.ua/wp-login.php. Но если использовать нестандартный URL админки, и использовать вместо адреса страницы какое-нибудь нейтральное слово или название, то при запросе злоумышленнику будет выдаваться ошибка 404.

Стоит помнить, что ни одна система безопасности не дает 100% от взлома, однако, придерживаясь всех вышеперечисленных рекомендаций, вы серьезно усложняете задачу злоумышленникам.

Вот еще несколько рекомендаций для повышения безопасности сайтов, которыми вы можете воспользоваться, даже если ваш ресурс уже запущен:

1. Ваши логин и пароль должны быть сложными и непредсказуемыми – откажитесь от стандартных вариантов типа «admin» и «administrator». Логин не должен быть связан с вашим бизнесом, сайтом и личными предпочтениями. То же можно сказать и о пароле – никаких примечательных дат и параллелей с компанией. Лучше всего воспользоваться генератором, который поможет вам составить сложный пароль. Есть специальная встроенная система в браузере Google Chrome, но можно также воспользоваться специализированными сайтами вроде www.onlinepasswordgenerator.ru
2. Круг лиц, имеющих доступ к административной панели должен быть ограничен – никаких посторонних лиц!
3. На хостинге экономить нельзя – пользуйтесь услугами только проверенных компаний с качественной круглосуточной технической поддержкой и устойчивым к DDos-атакам.
4. Регулярно делайте резервное копирование сайта. Лучше всего это делать не реже одного раза в месяц. На тот случай, если ваша страница все-таки будет подвержена хакерской атаке, вы сможете легко и быстро восстановить ее.
5. Регулярно заходите на свою административную панель! Особенно, если вы ведете активные рекламные кампании или же активно продвигаете свой сайт. Если ваш сайт взломают, а вы заметите это только спустя несколько дней или недель, то последствия для вашего бизнеса будут очень плохими.