Защита сайта

Взлом сайта осуществляется злоумышленниками с различными целями. Чаще всего мотивом выступает распространение вирусов среди компьютеров пользователей, посещающих веб-ресурс. Нередко это практикуется и для того, чтобы использовать взломанный сервер для рассылки спама и размещать на ресурсе скрытые ссылки, ведущие на страницы хакеров. Среди других целей взлома - вымогательство денег у владельцев зараженных компьютеров, кража личной информации, желание навредить конкуренту по бизнесу.

Способы взлома сайтов и методы защиты

О взломе сайта можно говорить в том случае, если постороннее лицо обрело доступ к его файлам, хранящимся на сервере. Существует множество факторов, позволяющих обойти защиту веб-ресурса - рассмотрим их ниже.

Вирусы, позволяющие украсть пароли. При вирусном заражении ПК вебмастера пароли от хостинга и FTP с высокой вероятностью окажутся в руках злоумышленников, за чем в дальнейшем может последовать взлом сайта. Этого можно ожидать и в том случае, если вебмастер передал пароли пользователю с зараженным ПК.

Меры предосторожности: Для повышения безопасности сайта необходимо следить за тем, чтобы ПК был чистым от вирусов. Лучше не передавать пароли от FTP и хостинг-аккаунта третьим лицам, а если возникла в этом необходимость, то необходимо убедиться в том, что на их компьютерах нет вирусов. Рекомендуется использовать длинные и сложные пароли и не осуществлять их хранение на ПК, не позволять запоминать их браузеру. Загрузка файлов на хостинг должна выполняться через безопасное SSH-соединение .

Недостатки хостинг-провайдера. Очень часто проникнуть на сайт хакерам позволяют недочеты хостинга, в частности, устаревшее ПО, позволяющее легко обойти защиту. В подобном случае у вебмастера отсутствует возможность как-либо это исправить.

Меры предосторожности: следует пользоваться услугами надежных хостинг-провайдеров, обладающих хорошей репутацией. В пользу хостинга может говорить большое количество клиентов. Со списком надежных провайдеров можно ознакомиться по ссылке.

Получение доступа к CMS. Популярная система управления сайтом активно исследуется злоумышленниками на предмет уязвимостей для того, чтобы получить возможность за раз осуществить взлом десятков тысяч веб-ресурсов. Однако разработчики CMS также не сидят сложа руки - они постоянно разрабатывают обновления для устранения уязвимостей и улучшения уровня безопасности сайта.

Меры предосторожности: вебмастеру необходимо позаботиться о том, чтобы версия CMS на его сайте всегда была актуальной. Загружать ее следует лишь с официального сайта разработчиков. В тех случаях, когда система управления была создана индивидуально под конкретный веб-ресурс, рекомендуется провести аудит его безопасности. Здесь имеется один нюанс - подобная услуга стоит недешево, и предоставляют ее на надлежащем уровне лишь немногие фирмы. Выбирая поставщика услуг, следует ознакомиться с его портфолио, не лишним будет поинтересоваться у клиентов о качестве его работы.

Расширения CMS. Систему управления сайтом саму по себе непросто взломать даже высокопрофессиональным хакерам. Уязвимой делает ее использование расширений - плагинов, компонентов и модулей от сторонних разработчиков. К примеру, некачественно разработанный компонент для добавления комментариев на сайт потенциально может позволить злоумышленнику загрузить на ресурс вредоносный скрипт и осуществить с его помощью взлом.

Меры предосторожности: не стоит устанавливать расширения, созданные сомнительными разработчиками. Бесплатные компоненты следует использовать очень осторожно.

Права доступа на файлы. Установленные права 777 на какой-либо файл сайта позволяют любому пользователю осуществлять его чтение и запись, а также запускать его. Это предоставляет хакеру возможность загрузить на ресурс вредоносный код, позволяющий взломать его и обрести над ним контроль.

Меры предосторожности: лучше выставлять на файлы сайта права 644, а на папки - 755. Перед изменением прав, однако, следует проконсультироваться у разработчика CMS, хостинг-провайдера или программиста со стажем, поскольку это может вызвать нарушения в работе ресурса.

Использование хакером SQL. Базы данных SQL на сегодняшний день применяются на большинстве сайтов. С их помощью осуществляется динамическое формирование страниц в соответствии с действиями посетителя. Работа выполняется посредством команд SQL, что позволяет злоумышленнику ввести запрос, направленный на взлом сайта, который будет обработан на сервере.

Меры предосторожности: важно, чтобы на сайте использовалась CMS с высоким уровнем защиты. Вебмастер, знакомый с языком SQL, может повысить безопасность сайта, создав фильтр для соответствующих запросов. К примеру, в языке программирования PHP существует специальная функция, выявляющая и удаляющая подозрительный код.

Использование хакером XSS (межсайтового скриптинга). В этом случае злоумышленник внедряет нужный ему код вместо идентификационных (и иных) данных, вводимых пользователями.

Меры предосторожности: в данном случае рекомендуется делать выбор исключительно в пользу надежной системы управления сайтом. От атак подобного характера не застрахованы даже такие крупные площадки, как Facebook, ВКонтакте и др. Если позволяют финансы, следует обратиться к услугам опытного программиста. Если нет, то можно посоветовать удалить с сайта возможность регистрации и создания личного аккаунта пользователя.

Меры, позволяющие повысить безопасность сайта

1. Регулярная проверка сайта на вирусы.
2. Использование безопасного протокола https для передачи конфиденциальных данных (таких как номера банковских карт и т. п.) при наличии функции оплаты на сайте. В качестве альтернативы можно использовать сторонние платежные сервисы. Для загрузки файлов на хостинг, как уже говорилось, использовать безопасное SSH-соединение.
3. Частое резервное копирование сайта - в большинстве случаев, это рекомендуется делать ежедневно.
4. Частое сохранение лог-файлов. В последних отражаются все запросы, отправляемые серверу. Часто они позволяют определить брешь, через которую проник злоумышленник. Однако следует учесть, что логи хранятся у хостера примерно течение двух недель. Если взлом сайта произошел в более ранний момент, то использовать их для выявления лазейки уже не удастся.