Як захистити свій сайт

12.07.2021 Автор: Андрій Булдижов

TOP-7 порад з безпеки для захисту вашого сайту від хакерів

До нас надходить багато звернень від власників невеликих бізнесів з приводу захисту веб-сайтів. Незважаючи на те, що ми займаємося в основному відносно великими проектами з безпеки, ми намагаємося не залишати без уваги наших невеликих клієнтів. Ми надаємо їм методичну допомогу та безкоштовні автоматизовані сервіси безпеки. У цій статті ми вирішили узагальнити наші рекомендації та відповісти на найбільш поширені питання щодо захисту веб-сайтів.

hacker works

Більшість власників сайтів помилково думають, що їх сайт не представляє ніякої цінності для хакерів, і що немає сенсу в його зломі. Незважаючи на те, що найбільш привабливими цілями для зловмисників залишаються інтернет-банкінги та онлайн-магазини, в епоху діджіталізаціі зростає кількість зломів сайтів в інших напрямках бізнесу також.

Навіть якщо порушення роботи сайту або крадіжка його даних не дають безпосередньої вигоди зловмисникам, вони можуть використовувати зламаний сайт для подальших атак на інші підприємства, для розсилки спаму або розповсюдження файлів незаконного характеру. За це власники сайту можуть нести відповідальність. Це чимось схоже на зараження організму шкідливими бактеріями або паразитами, коли носій інфекції може також її поширювати. Саме тому критично важливо заздалегідь підготувати захист всіх своїх публічних ресурсів.

Нижче представлені кілька способів захисту від хакерів. Ці способи будуть корисними власникам невеликих сайтів, які найчастіше стають жертвами масових зломів автоматизованими засобами.

У разі цільових нападів на сайти великих компаній перерахованих заходів захисту буде недостатньо. У таких випадках атаки здійснюються хакерами з чіткими завданнями та з високим рівнем підготовки. Тому для захисту таких сайтів і компаній необхідно застосовувати, відповідно, харденінг та стандарти безпеки.

Сертифікат SSL

У ході розвитку веб-безпеки та поширення мобільних пристроїв сертифікат SSL став необхідний для будь-якого сайту. Деякі браузери вже мають режими, в яких сайти без SSL не відображаються взагалі. Справа йде до того, що робота таких сайтів буде припинена.

Сертифікат SSL забезпечує конфіденційність інформації та дозволяє упевнитися в достовірності сайту. Це особливо важливо при використанні відкритих бездротових мереж. Банківські картки, логіни, паролі та інші особисті дані, які захищені SSL-сертифікатом, приховані від чужих очей. Перевірити наявність сертифіката на сайті легко, натиснувши на картинку замочка поруч з адресою сайту в рядку браузера.

Крім цього, SSL-сертифікат має значення для SEO (пошукової оптимізації). Наприклад, Google в пошуковій видачі дає перевагу сайтам з наявністю такого сертифіката.

Цікаво, що назва “SSL” використовується за інерцією. Протокол SSL, назва якого використовується для сертифікатів, застарів і є небезпечним. Безпечніше сімейство протоколів, яке прийшло на зміну SSL, називається TLS.

Звертайте увагу на версії цих протоколів та їх реалізацій, щоб залишатися захищеними. Час від часу протоколи застарівають і стають небезпечними.

Парольна політика

Важливо забезпечити використання користувачами та адміністраторами сайту складних унікальних паролів. Це один з кращих і найпростіших способів захистити облікові записи від злому і закриту інформацію від крадіжок.

Короткий посібник від Google містить основні рекомендації з безпеки паролів. Наявність великої літери та цифр у паролі, довжина якого не менше 12 символів, безумовно ускладнять крадіжку даних. При цьому можна порадити не використовувати персональну інформацію при створенні пароля, так як вона часто є загальнодоступною. Також варто рекомендувати користувачам не використовувати один і той самий пароль для різних облікових записів.

Крім усього, з боку сайту вкрай важливо не зберігати паролі у відкритому вигляді в базі даних, а використовувати відомі бібліотеки та функції для хешування паролів з додаванням “солі”.

Крім пароля, варто використовувати двофакторну аутентифікацію (2FA) або двокрокову верифікацію (2SV) як додатковий рубіж захисту у випадках витоку паролів. Якщо ви запровадите 2FA / 2SV, то для входу в обліковий запис користувачеві необхідно буде ввести підтвердження у вигляді одноразового коду з мобільного застосунку (переважно) або SMS (допустимо, хоча менш безпечно). Ця функція значно підвищить рівень безпеки, ускладнивши процес крадіжки облікового запису.

Перевірка на наявність уразливостей

Ефективним способом оцінки безпеки сайту є тестування. Його можна реалізувати декількома способами:

  • Сканування – слугує для пошуку різних уразливостей і проблем безпеки, а також для перевірки безпеки інфраструктури вашого сайту.
  • Перевірка – дозволить дізнатися рівень захищеності вашого ресурсу від загроз. Також ви зможете переконатися у відсутності шкідливих програм, які хакери часто впроваджують в контент, розміщений на сайті третіми особами.
  • Тестування на проникнення – дієвий метод знаходження вразливостей. Виконується фахівцями з безпеки для оцінки рівня захисту сайту і ймовірності витоку інформації, збоїв сервісу та несанкціонованого доступу.

Перевірка файлів, що завантажуються

Можливість користувачів завантажувати файли на сайт є великим ризиком безпеки. Варто з обережністю ставитися до всіх файлів, навіть до найменш непомітних, так як вони можуть містити шкідливі скрипти, які через сервер відкриють доступ до вашого сайту. Також необхідна правильна специфікація типів файлів та їх розмірів, які можуть завантажуватися на ваш сайт. Не забувайте про перевірку файлів на віруси перед завантаженням і відкриттям. Виконувані файли, завантажені з підозрілих джерел, включаючи файли, які були завантажені на ваш веб-сайт, повинні відкриватися в ізольованому середовищі, наприклад під віртуальною машиною.

Використовуйте системи перевірки цілісності файлів на сервері та переглядайте їх звіти щодня.

Оновлення

Вагомим внеском у безпеку вашого сайту є регулярне оновлення програмного забезпечення і підтримка його в актуальному стані. Це банальне правило, але багато хто ним нехтує. Це дає хакерам додаткову лазівку для злому. Тому ви повинні переконатися в оновленні програмного забезпечення, включаючи плагіни безпеки.

Багато виробників ПЗ повідомляють користувачів про проблеми безпеки. Найчастіше це розсилки, push-повідомлення або канали RSS. Якщо ваш сайт зроблений на CMS, швидше за все, ви також можете отримувати від цієї системи сповіщення про доступні оновлення.

Резервне копіювання

Важливо мати налагоджені процеси створення резервних копій (бекапів) з певною періодичністю. Таким чином ви страхуєте себе від втрати даних у випадках:

  • злому сайту
  • зараження вірусами
  • випадкового видалення файлів сайту
  • механічного пошкодження носія
  • несправності сервера
  • аварії хостера.

Бекапи – воістину універсальна міра безпеки. Єдина проблема безпеки, від якої не захищає резервне копіювання, – це витік інформації.

Зазвичай бекапи сайтів робляться автоматично за допомогою спеціальних плагінів, модулів або скриптів. Періодичність і вид бекапів, як правило, задаються в CMS, але можливий варіант резервного копіювання вручну.

Вибір надійного хостинг-провайдера

Робота вашого сайту безпосередньо залежить від хостинг-провайдера, тому слід відповідально підійти до його вибору.

Велика кількість хостерів пропонують клієнтам послуги регулярного резервного копіювання, моніторингу мережі, підтримки веб-скриптів і PHP, а також вбудовані панелі управління сервером, захист від вірусів та інших атак.

Важливим елементом є оперативна і доступна технічна підтримка в разі виникнення будь-яких проблем.

Переконайтеся, що ваш хостинг-провайдер відповідає сучасним технічним вимогам і зможе своєчасно відреагувати на непередбачені несправності. Не соромтеся уточнювати у хостера всю необхідну інформацію для впевненості в захищеності свого сайту.

Якщо ви використовуєте віртуальний хостинг, переконайтеся за допомогою аналізу IP-адреси вашого сайту, що на вашому сервері немає веб-сайтів з поганою репутацією, інакше їх репутація буде мати негативний вплив на ваш сайт.

Висновок

Якщо, незважаючи на перераховані заходи, ви піддаєтеся хакерським атакам і регулярно стаєте жертвою кіберзлочинів, то вам потрібен більш глибокий аналіз для виявлення причин проблем безпеки. В такому випадку, напишіть нам про вашу ситуацію, і ми надамо додаткову консультацію, допоможемо усунути наслідки злому та запобігти майбутнім атакам за допомогою харденінгу та тестування на проникнення.

Інші записи

30/11/2024
Безпека штучного інтелекту
10/11/2024
Як захистити і навчити захищати входи в системи