Безпека вебсайту

Що таке злом вебсайту?

Ваш вебсайт може вважатися зламаним, коли хтось отримав несанкціонований доступ до даних вашого сайту.

Чому сайти зламують?

Існують різні причини для злому вебсайту. Сайти можуть бути зламані для зараження комп'ютерів відвідувачів вірусами та шкідливим програмним забезпеченням. Також сайт може бути зламаний для використання вашої доменної електронної адреси для розсилки спаму. Інший спосіб використання зламаного сайту - це розміщення кнопок або посилань, які ведуть на шахрайські сайти або ініціюють завантаження вірусів на ваш ПК. Крім того, хакери можуть "вкрасти" ваш вебсайт і потім шантажувати вас. Якщо ваш сайт досить популярний, конкуренти також можуть найняти хакерів, щоб просто видалити ваші файли або зробити ваш сайт недоступним на певний час.

Методи злому та способи захисту вашого сайту

Крадіжка паролів FTP та/або облікового запису хостингу

Ми не рекомендуємо надавати доступ до вашого облікового запису хостингу взагалі. Краще надавати лише облікові дані для входу в FTP. Багато панелей керування мають можливість створювати користувачів з різними рівнями доступу. Тому, якщо вам потрібно надати комусь доступ до ваших файлів (наприклад, вашому вебмайстру), ми рекомендуємо створити користувача з обмеженими правами доступу.

Як уникнути крадіжки паролів FTP та облікового запису хостингу?

Намагайтеся уникати надання ваших облікових даних третім особам. Якщо вам потрібно надати ці дані, переконайтеся, що особа є надійною. Проте, ми все ж рекомендуємо надавати лише доступ до FTP-клієнта або створити окремого користувача з обмеженим рівнем доступу. Також переконайтеся, що всі ваші паролі важко вгадати, вони містять різні символи, літери та цифри.

Порушення безпеки компанії-хостинг-провайдера

Можливо, що може статися порушення безпеки, але це трапляється дуже рідко. Більшість відомих компаній серйозно ставляться до безпеки, тому ми рекомендуємо використовувати їхні послуги, а не новостворені або неперевірені компанії.

Як уникнути таких ситуацій?

Обирайте надійних хостинг-провайдерів, які мають багато клієнтів по всьому світу. Ви можете перевірити наш футер, щоб знайти хостинг, який відповідає вашим потребам. Також ви можете знайти рейтинг провайдерів з найкращим співвідношенням ціна-якість тут.

Злом CMS

Не має значення, чи CMS безкоштовна, платна чи спеціально розроблена. Якщо це популярна CMS, хакери обов'язково спробують знайти вразливості, які дозволять їм зламати тисячі сайтів одночасно. Однак це викликає зворотний процес: чим більше людей намагаються зламати CMS, тим безпечнішою вона стає з кожним випуском.

Інший спосіб, яким хакер може отримати доступ до вашої CMS, - це через різні розширення (плагіни, модулі тощо), завантажені з сторонніх сайтів. Вони можуть містити шкідливі скрипти.

Як уникнути злому CMS?

Переконайтеся, що ваша CMS оновлена. Завантажуйте як CMS, так і її розширення лише з офіційного сайту. Там ви можете знайти багато безкоштовних розширень. Якщо у вас спеціально розроблена CMS, вам, ймовірно, потрібно буде проводити аудит безпеки час від часу. Ця послуга досить дорога. Крім того, важко знайти пристойну та надійну аудиторську компанію. Тому єдине, що ви можете зробити, це ретельно дослідити перед замовленням такої CMS, прочитати відгуки клієнтів і потім вирішити, чи варто спробувати. До речі, ви можете ознайомитися з нашими статтями про безпеку Joomla та безпеку WordPress на нашому сайті.

Дозволи на файли

Дозволи на файли можуть бути представлені у вигляді чисел або символів. В основному, всі файли можуть бути прочитані, записані та виконані. Кожна з цих дій може бути дозволена або заборонена з різним ступенем специфічності, для чого і потрібні дозволи. Наприклад, якщо файл має значення дозволів '777', це означає, що будь-хто може читати, записувати або виконувати цей файл.

Як правильно налаштувати дозволи на файли?

Встановіть наступні значення дозволів: 755 - для папок і 644 - для файлів. Ми також рекомендуємо перевірити це з вашим хостинг-провайдером, досвідченим вебмайстром або розробником CMS перед тим, як змінити дозволи ваших файлів і папок, щоб уникнути будь-яких проблем. Ви можете дізнатися більше про дозволи на файли в цій статті.

SQL-ін'єкція

На сьогоднішній день більшість сайтів використовують SQL-бази даних для динамічного генерування сторінок. Цей процес реалізується за допомогою SQL-запитів. Саме тому будь-який хакер може змінити запит і вставити в нього шкідливий код через введення на вебсторінці. Це називається SQL-ін'єкцією.

Як захистити ваш сайт від SQL-ін'єкції?

Перш за все, ми рекомендуємо використовувати безпечну CMS. Крім того, якщо у вас є досвід програмування, можливо перевіряти SQL-запити. Наприклад, ви можете використовувати PHP-функцію mysql_real_escape_string, яка видаляє шкідливий код із запиту.

Міжсайтовий скриптинг (XSS)

Це тип вразливості, який зазвичай зустрічається у веб-додатках. Зловмисник прагне виконати шкідливі скрипти у веб-браузері жертви, включаючи шкідливий код у легітимну вебсторінку або веб-додаток. В основному, якщо сайт зламаний таким чином, хакер може отримати доступ до облікових даних для входу будь-якого відвідувача. Відвідувач навіть не помітить різниці, оскільки сайт виглядатиме і працюватиме абсолютно нормально.

Як захистити ваш сайт від міжсайтового скриптингу?

На жаль, досить важко захистити ваш сайт від цих атак. Навіть популярні сайти, такі як Facebook, можуть піддаватися XSS-атакам. Ми радимо використовувати безпечну CMS і найняти досвідченого системного адміністратора для забезпечення безпеки вашого сайту. Якщо ви не можете дозволити собі вебмайстра на даний момент, видаліть форму реєстрації з вашого сайту, щоб уникнути крадіжки конфіденційних даних.

Комп'ютерні віруси

Так, віруси все ще популярні і можуть завдати шкоди вашому сайту. Якщо ваш ПК заражений, існує ймовірність, що ваші облікові дані для входу в панель керування вже були вкрадені.

Як захистити сайт від вірусів на ПК?

По-перше, не зберігайте свій пароль у браузері або у файлі на вашому ПК. По-друге, встановіть антивірус і регулярно проводьте перевірку безпеки. І не забувайте оновлювати його якомога частіше. Ми також рекомендуємо використовувати Unix-системи, вони більш безпечні.

Не завантажуйте та не встановлюйте підозріле програмне забезпечення, не натискайте на будь-які посилання та не завантажуйте вкладення з електронної пошти, надісланої з невідомої електронної адреси.

Поради

1. Регулярно скануйте ваші сайти на наявність вірусів. Ви можете знайти детальні інструкції тут.
2. Робіть резервні копії ваших сайтів якомога частіше (раз на день буде достатньо).
3. Регулярно зберігайте файли журналів, оскільки хостинг-провайдери зберігають файли журналів приблизно 2 тижні, а потім видаляють їх. Вони містять інформацію про всі запити, які надсилаються на сервер. Це може допомогти виявити незвичайний вхід, тобто коли хакер намагався отримати доступ до вашого сайту.
4. Якщо у вас є інтернет-магазин, який підтримує будь-яку платіжну систему, переконайтеся, що ви або використовуєте SSL-сертифікат, або підключаєте ваш сайт до зовнішньої платіжної системи.
5. Двічі перевірте, які функції безпеки та інструменти пропонує ваш хостинг-провайдер. Більшість хостинг-компаній серйозно ставляться до безпеки клієнтів і пропонують багато різних безкоштовних інструментів, які доступні в панелі керування або включені в пакет.
6. Якщо ви найняли вебмайстра для розробки вашого сайту, переконайтеся, що одне з його основних завдань - захистити сайт від усіх видів атак і вразливостей. Щоб переконатися, що всі питання безпеки вирішені, попросіть іншого вебмайстра спробувати зламати ваш сайт. Це може здатися трохи надмірним, однак ці дії можуть гарантувати, що ваш сайт і дані його відвідувачів захищені від шкідливого програмного забезпечення та порушень безпеки в цілому.