безопасность сайта

Как обезопасить сайт

На сегодняшний день вопрос информационной безопасности стоит крайне остро. Ежедневно в сети появляются тысячи новых сайтов, но очень не многие из них достойно защищены от различных атак. Как показывает практика, государственные компании и даже секретные службы страдают от хакерских атак, из-за которых конфиденциальные данные предаются огласке. Мы не говорим уже о частных компаниях и просто физических лицах, чьи веб-сайты имеют множество уязвимостей и постоянно подвергаются атакам.

Чтобы сайт успешно функционировал и был максимально защищен от хакерских атак и вирусов, необходимо много времени уделять вопросу его безопасности. Есть три основных элемента, которые составляют организацию безопасной работы сайта и упреждают попытки взломов и атак:

  • Безопасность программной составляющей – CMS и скриптов
  • Безопасность сервера (хостинга)
  • Аккуратность в работе администратора сайта или того, кто работает с сайтом как администратор.

 

На что влияет надежность программной части?

Программная часть – это система управления сайтом, например Joomla, WordPress и др., а так же скрипты, на которых сайт работает. Безопасность программной части сайта состоит в отсутствии уязвимостей, которыми могут воспользоваться злоумышленники для получения доступа к панели администратора сайта, базе данных или файловой системе. Для надежной защиты программной части разработчикам необходимо создавать скрипты с учетом обеспечения безопасности данных, что делается достаточно редко. Поэтому в любой CMS или в скрипте можно найти уязвимость. Некоторая часть уязвимостей распространена и доступна для всех в сети – это публичные уязвимости, остальные возможности для взлома не общедоступны и используются злоумышленниками для целевых атак на веб-сайты.

Крайне важно уделять должное внимание установке новых патчей и своевременному обновлению системы управления сайтом, а также в обязательном порядке обновлять CMS до актуальной версии. В случае, если сайт работает на уникальных скриптах собственной разработки, то обеспечение безопасности происходит путем сканирования сайта всеми доступными средствами поиска уязвимостей, а также с помощью проверки исходного кода сайта средствами статического анализа исходного кода. В случае обнаружения уязвимостей, их необходимо немедленно устранить.

Помимо своевременного обновления скриптов и CMS, еще одной важной мерой обеспечения безопасности и надежности станет правильная конфигурация сайта. Это поможет значительно снизить вероятность успешной хакерской атаки, даже при наличии уязвимостей в программной части сайта. Для этого необходимо:

  • Закрыть доступ к внутренним файлам сайта (конфигурационным файлам, каталогам с резервными копиями и др.)
  • Запретить выполнение скриптов в директории загрузки.
  • Установить сложный пароль на вход в панель администратора, менять его не реже одного раза в месяц.

Безопасность сервера

Помимо программной части, немаловажную роль играет грамотное обеспечение безопасности хостинга, на котором размещен сайт. Хостинг может быть shared («общий»), когда ответственность за безопасность сервера лежит на администраторе хостинг-компании, и dedicated – «выделенный», то есть ответственным является сам владелец сервера.

В обоих случаях конфигурация должна обеспечивать минимум свободы действий – возможность изменения только самых необходимых функций, чтобы не нарушать работоспособность сайта. Об этом может позаботиться системный администратор сервера. Также, крайне важно владельцу сайта тщательно подходить к выбору хостинга. Т.к. на одном сервере shared-хостинга находится несколько сотен сайтов и каждому требуются свои определенные функции, хостинг-компании предоставляют максимальные возможности настройки. Это значительно сказывается на общем уровне безопасности сайта и упрощает работу злоумышленнику.

 

Так ли важна аккуратность администратора сайта?

Как ни странно, наибольшая угроза чаще всего исходит именно от администратора или владельца сайта. Рассчитывая на безупречную программную часть и безопасные настройки сервера, проявляется халатная беспечность, которая становится причиной взлома сайта или заражения вирусами.

Для исключения человеческого фактора, как возможной причины взлома, рекомендуется соблюдать следующие правила:

  • Компьютер, с которого выполняются все работы с сайтом, обязательно должен быть защищен коммерческим антивирусом, а также регулярно им проверяться.
  • Все пароли для доступа к сайту должны быть сложными, для обеспечения высокой степени защиты. Также их необходимо менять не реже одного раза в месяц и не хранить в общедоступных местах (браузере, электронной почте и т.д.)
  • Работать по безопасному протоколу SFTP или SCP.

Если вы думаете, что ваш сайт малоизвестен и никогда не подвергнется хакерским атакам, то это не так. Даже если злоумышленники не будут преследовать цель извлечь базу данных с вашего сайта, это не значит, что они не могут использовать его в качестве площадки для дальнейшей рассылки вируса до конечных пользователей.

Прокрутить наверх