«Керівник проектів команди" Бізнес-Мотор ", веб-майстер, копірайтер.
Робота над юзабіліті, підвищення конверсії, збільшення трафіку безглузді, якщо сайт вразливий. Рассказиаем, якими методами проводиться злом сайту і як убезпечити ваш ресурс »
На сторінках нашого блогу ми приділяємо максимум уваги просуванню сайтів та підвищенню їх конверсії, але, як показує практика, в один момент всі ці зусилля можуть стати безглуздими. Цей момент - злам сайту.
І нехай деякі результати протиправного проникнення можуть залишатися малопомітними (наприклад, мобільний редирект або контрольний спам), тим більше важливо вчасно ідентифікувати і усунути загрозу. А краще - вчасно попередити її появу.
У нашій сьогоднішній статті ми поговоримо про те, з чого складається безпеку сайту і будь базових запобіжних заходів варто дотримуватися вебмайстру для того, щоб уникнути загрози злому.
Brute force атаки
Мабуть, найпростіший спосіб атаки на сайт - це brute force, швидкий підбір пароля до адміністративної панелі. Такий підбір здійснюється спеціальними ботами (програмами) і дозволяє протягом хвилини спробувати сотні і тисячі різних комбінацій.
Неприємно й те, що brute force створює зайве навантаження на сайт, що може знизити його швидкодію або навіть призвести до тимчасової недоступності. А це в свою чергу суттєво погіршує призначений для користувача досвід.
Захиститися від брутфорс-атак допоможуть кілька простих рішень, які краще використовувати в комплексі:
Завантаження на сервер шкідливих файлів
Ще один поширений і гранично простий спосіб злому сайту укладає в завантаженні на сайт виконуваних файлів, що створюють уразливості. Простіше кажучи - вірусів і троянських програм. Таке завантаження стає можливою, наприклад, при заповненні профілю в особистому кабінеті, при написанні поста на форумі, Ви надсилаєте ПП з доданим файлом і багатьох інших випадках. Подібний функціонал є практично на кожному сайті, так що проблема завантаження на сервер шкідливих конструкцій актуальна практично для всіх інтернет-проектів.
Єдиний спосіб уникнути загрози - ретельний контроль типів файлів, що завантажуються. У більшості випадків мова йде про зображення, тому програмними методами необхідно визначати тип файлів, які користувач хоче завантажити, і не допускати попадання на хостинг потенційно небезпечних розширень (php).
крадіжка паролів
Для проникнення на сайт зловмисники найчастіше вдаються і до «класичним» методам - крадіжці паролів безпосередньо з комп'ютера адміністратора. Найчастіше крадуться збережені FTP-паролі. Само собою, маючи такі дані, можна зробити з сайтом практично все, що завгодно.
Єдине рішення цієї проблеми - забезпечити високий рівень захисту власного комп'ютера. А саме - користуватися антивірусами з актуальною базою сигнатур і дотримуватися базових правил безпеки в Інтернеті (не викачувати сумнівні файли, не відкривати додатки в листах від невідомих відправників і т.д.).
Уразливості в CMS і плагінах (розширеннях)
Все CMS ( «Пошуку») і плагіни для них в той чи інший момент можуть мати певні уразливими. Ці уразливості можуть бути пов'язані з роботою виконуваних файлів (php), правами доступу до папок і іншими особливостями функціонування сайту. Деякі з таких загроз виявляються критичними і здатні стати приводом для злому сайту.
- Встановлювати всі оновлення CMS і плагінів, які пропонують розробники. Це не дає 100% гарантії захисту від різноманітних загроз, але, по крайней мере, дозволяють вчасно усувати виникаючі уразливості.
- Чи не встановлювати плагіни / розширення / надбудови / компоненти / модулі для сайтів від невідомих розробників - програмні продукти, в безпеці яких Ви не впевнені. Вони можуть містити уразливості або навіть самі бути шкідливими програмами.
XSS ( «міжсайтовий скриптинг») - вид атаки, при якій зловмисник дозволеними на сайті методами (за допомогою різноманітних текстових полів) розміщує на ньому впроваджений шкідливий скрипт. Ситуацій, при яких це стає можливим, досить багато. Це і різні поля в особистому профілі, і пости на форумі, і рядки в заповнюваних формах.
Захиститися від подібної шкідливої активності можна, ретельно регулюючи, що і як саме може писати користувач на сайті, які теги або BB-коди може для цього використовувати.
Уникнути більшості загроз злому сайту допоможуть базові заходи безпеки.
Найчастіше сайти зламують за допомогою bruteforce-атак, завантаження на сайт шкідливих файлів, через уразливості в програмному коді, за допомогою крадіжки паролів і XSS-атак.
Від кожної загрози можна захиститися. Це не дає 100% гарантії безпеки, але, по крайней мере, знижує ймовірність злому до мінімуму. Домогтися ще більш високого рівня захисту дозволить участь фахівців з безпеки сайтів.