Безопасность сайта

Большинство людей, создавая свой сайт, практически не заботится о его безопасности. Предполагается, что техническая часть и без того совершенна. Да и незачем кому бы то ни было взламывать ваш ресурс. Однако статистика показывает, что скрипты сайта во многом уязвимы, а причины всегда находятся. Взять хотя бы интернет-магазины. Довольно частое явление – взлом базы данных конкурирующей компании, с целью кражи информации: данных о поставщиках, ценах, клиентской базе и прочем. Иногда хакеры предпочитают воровать деньги с электронных кошельков. Или просто проверяют свои навыки, взламывая личные сайты.

Чтобы с вами подобных ситуаций не произошло важно помнить о слабых местах ресурса. Обычно их три: программная часть, сервер, человеческий фактор (администратор).

1. Безопасность программной части достигается за счёт технического совершенства скриптов. В большинстве случаев люди предпочитают использовать готовые CMS. В которых, разумеется, есть дыры. Некоторые из дыр известны и выложены  в общий доступ. Воспользоваться ими может кто угодно. Но есть и собственные наработки талантливых “программистов в законе”. Чтобы избежать проблем с технической частью регулярно обновляйте CMS. Время от времени сканируйте сайт средствами поиска уязвимостей (вроде XSpider, Acunetix, WVScanerи др.). А также утилитами для поиска SQL-инъекций. Такими как XSS, RFI. Не помешает проверить исходный код средствами статического анализа – RIPS. Регулярные проверки помогут выявить дыры в системе и своевременно устранить их.

Особенно важно помнить об этом при поисковом продвижении сайта. Когда имеет место множество манипуляций с кодом, плагинами, внедрением ссылок и пр.

2. Безопасность сервера (хостинга). Имеется два основных вида серверов – общие и dedicated-сервера. Последние ещё иногда маркируются VDS\VPS\DDS. Проблема в том, что на общем сервере хостинг-компании базируются самые разношёрстные сайты и в огромном количестве. Чтобы удовлетворить функционал каждого хостинг выставляет самые лёгкие настройки безопасности. Слабая фильтрация входящего траффика (для кого-то СПАМ, а для кого-то клиенты), всевозможные допущения при работе со ссылками, роботами и пр. С общими серверами особо ничего не поделаешь. Разве что выбирать небольшие специализированные хостинг компании с высоким уровнем защиты. Лучше всего арендовать у хостераVPS\VDS-сервер. В этом случае все настройки безопасности выставляете лично вы. Или администратор, которому вы это дело доверите.

3. К слову именно администратор (т.е. человеческий фактор) зачастую является самым слабым местом в безопасности всей системы. Простые пароли, нерегулярная их смена, неиспользование антивирусов на компьютере. Или того хуже – если несколько человек работают с одного ПК, с которого и осуществляется доступ к сайту.

На данный момент самыми частыми являются два сценария взлома по причине человеческого фактора. Они особенно актуальны для тех, кто пытается провести сео оптимизацию своего сайта в домашних условиях, не обращаясь к профессионалам. Во-первых, это скачивание многочисленных нелицензионных бесплатных плагинов для поискового продвижения со сторонних сайтов. Зачастую создатель-программист уже снабдил код подпрограммой. И стоит вам согласиться с установкой, как злоумышленник получит доступ к управлению всем содержимым сайта. Во-вторых, это небрежность самого администратора. Сохранение паролей в браузере, ftp-клиенте, эл.почте. К тому же нет ничего более лёгкого, чем выведать хотя бы часть пароля в частной переписке. Люди гораздо более небрежны в таких делах, чем принято думать.

Итог здесь очень простой. Сайт имеет множество лазеек в системе безопасности. Их количество и степень угрозы изменяются в динамическом ключе. Чтобы вовремя предотвращать неприятные инциденты лучший выход – доверить сайт профессионалам. Если у вас есть компания, которая на постоянной основе “ведёт” сайт, занимается его продвижением и наполнением - вам не о чем беспокоится. Сайт находится в надёжных руках. 

14.04.2015