1. Як таке могло статися?
2. Варіанти злому сайтів
3. Весь інтернет-маркетинг за 19 тижнів!
4. Злом сайту не через веб
5. Що потрібно зробити для захисту свого сайту
6. Злом сайту з вини підрядників або співробітників

Уявімо типову ситуацію: ваш сайт працює на комерційній CMS останньої версії. Всі плагіни оновлені, а «дірки» пропатчити. Ваш хостер - авторитетний провайдер хостингових послуг. Сайт працює стабільно, і здається, що все під контролем. І ви вважаєте, що зламаний сайт - доля невдах, які використовують «варезні» шаблони і нічого не тямлять в безпеці ... Але зламали - вас!

З вашого сайту почали розсилати спам, відвідувачі скаржаться на недобросовісну рекламу, хостер пише про фішингових контент на сайті, який ви, природно, не розміщували.

Як таке могло статися?

Вся справа в тому, що експлуатація вразливостей і веб-атаки - далеко не єдина (хоч і найбільш популярна) можливість для зловмисника отримати несанкціонований доступ до вашого проекту. І в даній статті ми хочемо розповісти про інші способи злому сайту з рекомендаціями щодо їх запобігання.

Варіанти злому сайтів

Рис.1 - Варіанти злому сайтів

На малюнку (Рис.1) ми згрупували практично всі можливі варіанти злому, які діляться на три категорії:

Весь інтернет-маркетинг за 19 тижнів!

Cossa рекомендує: онлайн-курс по інтернет-маркетингу від Ingate - digital-агентства з 17-річним досвідом.

• 17 навчальних блоків з ключових питань інтернет-маркетингу
• підтримка менторів
• диплом
• Стажування в топових агентствах Росії
• Допомога в працевлаштуванні

Реклама

• злом в результаті веб-атак;
• злом сайту не через веб, але без участі людини;
• злом з вини співробітників і підрядників.

Найчисленніша категорія відноситься до злому сайтів через веб. (Рис.2):

Рис.2 - Способи злому сайтів по частоті використання

На неї припадає близько трьох чвертей від всіх можливих варіантів несанкціонованих вторгнень. Саме тому про це так багато пишуть і говорять. Саме тому веб-майстри і власники сайтів звертають увагу на закриття вразливостей і оновлення плагінів і CMS до актуальної версії. І саме тому вважають, що якщо дана умова виконано, то їх сайту нічого не загрожує.

Однак це далеко не так.

Злом сайту не через веб

Злом сайту не через веб-уразливості представлений досить великою класом технічних «можливостей» для зловмисників:

Перехоплення або крадіжка доступів. Необов'язково, що ці доступи вкрадуть саме у вас. Заражений трояном комп'ютер, з якого віддалено працює ваш приходить бухгалтер, або небезпечне підключення до wi-fi фрілансера, який вирішив внести правки на ваш сайт, перебуваючи в коворкінг, можуть стати причиною крадіжки доступів від сайту і хостингу.

Робота по wi-fi в громадських місцях - окрема можливість для злому. Ви ніколи не знаєте, хто сидить за сусіднім столом і не «сніффером» (перехоплює) цей хтось трафік, щоб скористатися зібраною інформацією в недоброчесних цілях. А ще зараз часто заражають wi-fi роутери, в результаті чого весь незахищений трафік, що йде через них, виявляється перехоплених (паролі, конфіденційна інформація, і ін).

Брут-форс атаки (підбір пароля від FTP / SSH / панелі хостингу). На жаль, дуже багато власників сайтів і веб-адміністратори не замислюються про надійність своїх паролів - ставлять для зручності прості і короткі комбінації, які досить легко «вгадуються» роботами підбором по заздалегідь заготовленим словником. На перший погляд, ситуація виглядає досить надуманою, але багато хто до цих пір використовують в якості пароля від адміністраторського облікового запису банальне «12345» або admin / admin.

Злом сайту через «сусідів» по аккаунту хостингу. На практиці дуже рідко коли сайти розміщують ізольовано один від одного, по одному на акаунті. Зазвичай поруч з веб-проектом є сусідами один або кілька сайтів, іноді це тестовий майданчик основного сайту, розгорнута на технічному домені. Сайти, яким не приділяється належна увага в плані захисту або забуті або непотрібні веб-проекти , Можуть стати причиною злому всього аккаунта, в тому числі і вашого «невразливого» сайту.

Компрометація сервера хостингу. Де хоститься ваш сайт? На сервері знайомого програміста або у професійного хостера? Якщо ваш хостер не володіє потрібними компетенціями, не має належного досвіду для грамотного і безпечного адміністрування, сервер зможуть зламати через вразливі компоненти або небезпечні настройки.

Що потрібно зробити для захисту свого сайту

• Грамотно вибирати хостера. Якщо не вистачає компетенції вибрати хостінговую майданчик за технічними параметрами самостійно, рада - довіритися одному з хостерів, що входять в десятку кращих по РФ або СНД. Наприклад, скористатися цією інформацією або подивитися рейтинг хостингових компаній за кількістю клієнтських доменів . Провідні хостинг-провайдери піклуються про безпеку своїх клієнтів і активно інвестують в підвищення безпеки своїх серверів.
• Потрібно завжди пам'ятати про безпечне розміщення сайтів на хостингу. Якщо є можливість, взяти окремий акаунт для кожного сайту або розмістити на акаунті мінімальне число сайтів, так як це буде більш безпечно. Про це потрібно думати в момент розміщення сайту на хостингу або при виборі хостингу, так як деякі хостери вже мають вбудований механізм ізоляції сайтів всередині віртуальної площадки. Якщо сайти не ізольовані один від одного (тобто скриптами одного сайту можна вносити зміни в файли іншого) - то великий ризик злому всього аккаунта .
• Необхідно обмежити підключення по FTP і SSH за допомогою додаткового пароля, наприклад, приходить по SMS, або надати доступ з певних IP-адрес.
• Регулярно міняти паролі. Чим частіше ви міняєте паролі, тим менше у зловмисника шансів скористатися перехопленими або вкраденими.
• Для роботи у відкритих wi-fi мережах використовувати VPN, щоб уникнути перехоплення конфіденційної інформації програмами-аналізаторами трафіку - сніффером.

VPN - це окремий сервіс, який купується на спеціалізованих сайтах: приклад . Користувач завантажує програму, указивет в ній свій обліковий запис і далі однією кнопкою включає або вимикає безпечну передачу даних між своїм комп'ютером і віддаленим сервісом або сайтом.

Злом сайту з вини підрядників або співробітників

Ви передаєте доступи до сайту і хостингу своєму підряднику для виконання якихось робіт. Підрядник діє швидко і професійно: бажані зміни на сайт внесені, сайт знову працює, як годинник.

Але через деякий час ви помічаєте, що трафік знижується, а в статистиці сайту з'являються переходи на сторонні сайти. Що трапилося? Не поспішайте підозрювати веб-майстри, що він зробив це цілеспрямовано. Можливо, сталася крадіжка доступів або його комп'ютер був заражений (про що ми писали раніше). Навіть пильний і обережний користувач може стати жертвою випадкового інциденту. Але факт залишається фактом: ваш стабільно працюючий веб-ресурс зламали.

Тут правила дуже прості: хочете керувати безпекою свого сайту при роботі з підрядниками - керуйте доступами до веб-ресурсу. Що це означає?

• Надавайте доступи підрядникам на мінімальний термін і з мінімальними привілеями. Тобто, якщо фрілансеру потрібно поправити якийсь шаблон на сайті, не варто йому давати root-пароль від сервера. Досить дати SFTP або SSH доступ, створити користувача з мінімальними, але достатніми правами і надати SFTP-підключення в каталог, де лежить вказаний шаблон.
• Візьміть за правило проводити аудит сайту, після того як підрядник виконав всі роботи. Це можна зробити самостійно після виконання робіт шляхом порівняння файлів або за допомогою залучених сторонніх фахівців.
• Для самостійної перевірки сайтів ми рекомендуємо використовувати безкоштовні сканери шкідливого коду AI-BOLIT і веб-сканер ReScan.pro . Вони допоможуть швидко перевірити сайти на віруси і шкідливий код.
• Працюйте на договірній основі, співробітництво на «чесному слові» може неприємно розчарувати.
• інструктаж підрядників - необхідна складова комплексу заходів щодо безпечної роботи з веб-ресурсом. Часто, коли завдання потрібно зробити швидко - наприклад, терміново поправити щось в шаблонах або скриптах - правила безпеки можуть ігноруватися, а в результаті власник сайту зіткнеться з неприємними наслідками. Не забуваємо, що співробітника можна обдурити і він добровільно передасть доступи третім особам.

В сучасних умовах агресивного інтернету власникам сайтів надзвичайно важливо виробити для себе політику безпеки при роботі з веб-ресурсом. І мова йде не тільки про технічні заходи, а й організаційних - це і правила роботи з підрядниками, і правила роботи з сайтом всередині компанії. Часто цієї самої «вразливістю» вашого сайту є сама людина.

Крім того, недостатньо закрити всі уразливості і встановити на сайт моніторинг, який оперативно проінформує вас про інцидент. Обов'язково потрібно розробити для себе план дій - алгоритм, що ви будете робити, якщо злом сайту станеться.

• Зробити повну резервну копію поточної версії сайту, щоб зберегти сліди злому.
• Запросити в техпідтримку хостингу журнали веб-сервера за максимально можливий період часу.
• Заблокувати доступ до сайту через веб, змінити всі паролі і негайно звернутися до фахівців.

І на закінчення - намагайтеся зробити процес забезпечення безпеки сайту якомога зручнішим для вас і ваших співробітників (щоб це було не сильно складно / затратно по часу / нудно і так далі). Інакше інструкція буде говорити одне, а люди через деякий час все одно будуть її ігнорувати.

Думка редакції може не збігатися з думкою автора. Якщо у вас є, що доповнити - будемо раді вашим коментарям. Якщо ви хочете написати статтю з вашою точкою зору - прочитайте правила публікації на Cossa.