Безопасность сайта — общие настройки
Угрозы для веб-сайтов большей частью связаны с несанкционированным доступом злоумышленников к интернет-ресурсам. Исходящие от них угрозы влияют на конфиденциальность, целостность данных, которые хакеры используют в корыстных целях или для продажи на теневом рынке.
Для минимизации рисков опытные веб-мастера занимаются периодической профилактикой. Безопасность сайта основывается на нескольких базовых вещах:
- Защиты программной части движка (самой CMS и скриптов).
- Безопасности хостингового сервера.
- Аккуратности и осторожности администратора.
Стопроцентную гарантию защиты от хакерских атак не может дать никто. Однако, комплексный контроль за всеми элементами обозначенных составляющих снижает возможность несанкционированного доступа. Рассмотрим каждый из них детально.
Безопасность программной части
Программная часть состоит из системной платформы (WordPress, Joomla, Bitrix и т. д.) и скриптов на основе которых работает любой веб-ресурс. Обозначенные CMS-системы относятся к самым распространённым среди сайтовладельцев системам с открытым кодом. Соответственно, их недостаток в большом количестве программных уязвимостей, «дыр» в коде, которыми и пользуются хакеры для взлома. Частично проблему уязвимостей популярных CMS решает их своевременное обновление до последней версии, установка патчей и плагинов, отвечающих за безопасность (но эти меры недостаточны).
Сайты, работающие на основе самописных скриптов, также периодически подвергаются атакам извне. Их преимущество разве только в том, что хакерам приходится подбирать индивидуальный кодовый «ключик», изучая внимательно все слабые места таких интернет-ресурсов. Тогда как все основные уязвимости известных CMS давно известны, и злоумышленники лишь модифицируют отработанные способы взлома в соответствии с улучшением модификаций Вордпресса, Джумлы и других платформ.
Базовые рекомендации для владельцев сайтов при настройке защиты программной части сайта ограничиваются следующими мерами:
- Аккуратно прописывать права доступа к системным файлам и директориям.
- Закрыть от внешнего посягательства все важные разделы (каталоги резервных копий, файлы конфигураций, базы данных).
- Запретить в директориях загрузок командное исполнение скриптов.
- Усилить защиту при входе в админ-панель (усложнить пароль, поставить дополнительный пароль и т. д.).
Для сканирования веб-ресурсов на уязвимости достаточно использования нескольких общедоступных сервисов. Например, достаточно эффективны XSpider и Acunetix Web Vulnerability Scanner. Проверку исходного кода сайта можно при помощи средств статистического анализа.
Безопасность сервера
На уровень защищённости сайта влияет и хостинг, который подразделяется на общий (shared) и выделенный (dedicated).
При общем хостинге ответственность лежит на администраторе хостинговой компании. Выделенные сервера (VDS/VPS/DDS) находятся под контролем владельца сервера.
И в том и в другом случае, тем не менее, работа хостинга должна быть настроена наиболее оптимальным образом, с подключением только необходимых функций и отключением всех тех, которые несут потенциальную угрозу. Так, если сайт не использует внешних подключений к другим серверам, то эту опцию желательно отключить. Аналогичным образом отключается и функция системных вызовов (system, shell_exec), если они не влияют на работу веб-ресурса. Важно также ограничить «видимость» файловой системы со стороны скриптов.
Поскольку shared-хостинги обеспечивают функциональность сотен различных сайтов, то их владельцы к вопросу серверных настроек относятся весьма демократично (разрешая по умолчанию практически всё). Рекомендуется тщательнее выбирать хостера, отдавая предпочтения тем компаниям, которые разрешают индивидуальную коррекцию сервера и php-настроек.
Краткий чек-лист
Регулярная проверка системных элементов веба не гарантирует надёжную защиту от хакерской угрозы, если сами администраторы относятся беспечно к той информации, к которой они имеют доступ.
При настройке защиты сайта и хостингового сервера желательно сверяться с небольшим чек-листом, который обеспечивает контроль и мониторинг полным образом:
- Компьютер, через который ведётся работа с сайтом, защищён качественным антивирусным ПО с регулярно проводимыми сканированием.
- Периодическое смена паролей на админ-панель и панелей ftp/ssh. Хранение паролей вне компьютера и гаджетов, которые могут быть взломаны злоумышленниками.
- Работа в рамках протокола SFTP и SCP.
Фаервол Virusdue – универсальная защита от внешних воздействий для всех CMS-платформ
Среди прочих мер комплексной защиты особое внимание следует уделить выбору антивирусного продукта, который бы эффективно защищал сайт от возможных угроз.
Virusdue в числе прочих услуг предлагает универсальный фаервол (Web Application Firewall), который при подключении к антивирусной сети «Вирусдай» защищает от всех основных угроз.
Хакерские атаки, внедрение вредоносного кода, XSS/SQL-инъекции, граббинг (сканирование и скачивание уникального контента) – от всего этого не застрахован ни один владелец коммерческого сайта или интернет-магазина.
Включение фаервола происходит автоматически после подключения сайта к антивирусной системе фирменного продукта. Работа начинается с моментальной обработки запросов к системным файлам, – все несущие опасность, подозрительные действия приостанавливаются также автоматически.
Статистика по всем выявленным угрозам выводится в соответствующем разделе фаевола, посредством наглядных графиков и диаграмм.
Программное обеспечение Virusdue предоставляет комплексную защиту от множества типов вредоносных действий. Фаервол работает со всеми основными видами CMS-платформ – от популярных Joomla, WordPress и Bitrix до более экзотических (вроде OpenCart или Simpla).
Всё это говорит о том, что Virusdue относится к универсальным средствам, обеспечивающим максимальную безопасность 24 часа в сутки.