Ежедневно по всему миру взламываются сотни сайтов. Некоторые из них можно назвать крупными, другие, казалось бы, не представляют для хакеров хоть какого-то интереса. Но факт остается фактом – если Вы являетесь владельцем веб-ресурса, всегда есть вероятность, что Вас взломают.
Как известно, лучшее решение проблемы – это ее предотвращение. Поэтому если у Вас есть свой сайт, и Вы хотите остаться его полноправным владельцем, то лучше уже сейчас предпринять несколько шагов. Благодаря им Вы сможете уберечь себя от неприятностей.
В этой статье я перечислю все основные слабые места Вашего сайта и расскажу, какие существуют способы значительно осложнить жизнь злоумышленникам.
Легкий пароль
Как это ни очевидно, но многие сайты взламываются простым перебором паролей доступа в административную часть. Поэтому Ваш пароль обязательно должен быть сложным и сочетать в себе различные символы (то есть быть цифро-буквенным). Помните про верхний и нижний регистр: “eXampLE” будет значительно лучше “example”. Также лучше отказаться от использования в пароле распространённых слов и буквенных сочетаний вроде “password”, “test”, “qwerty”, “admin”, а также цифр, идущих подряд: 1234, 9876 и т.д. Пароль не должен совпадать с именем пользователя (логином) или содержать в себе название Вашего сайта или проекта; также не используйте одинаковые пароли в нескольких сервисах, каждый пароль должен быть единственным в своем роде! Поэтому пусть это будет случайный набор букв разного регистра вперемешку с цифрами и спецсимволами не менее 8-10 символов длиной.
Не можете придумать самостоятельно? Воспользуйтесь одним из онлайн-генераторов паролей:
Также нелишним будет сделать дополнительную аутентификацию пользователя.
Либо Вы даже можете сделать так, чтобы ссылка в административную панель изменялась при помощи .htaccess или одного из плагинов CMS (например, iThemes Security, если Вы используете CMS WordPress). К примеру, чтобы доступ в панель осуществлялся через example.ru/adminka, а не через традиционные example.ru/wp-admin или example.ru/wp-login.php. В этом случае Вы сможете эффектно защититься от большей части ботов злоумышленников, чьи скрипты обычно пытаются проникнуть на сайт через стандартные ссылки.
Старый пароль
Вам нужно не только использовать сложные пароли, но и регулярно (скажем, раз в месяц) менять их. Особенно если Вы работаете с подрядчиками, наемными программистами и другими специалистами, которым даете доступ к своему сайту. После того, как Вы перестаете с ними сотрудничать, смена пароля обязательна!
Открытая пересылка пароля
Когда Вы сгенерировали по-настоящему сложный пароль – не храните и не пересылайте его в открытом виде! Ни в коем случае не используйте для хранения электронную почту или блокнот на рабочем столе – все это в один «прекрасный» день может привести к тому, что Ваши данные окажутся в руках у злоумышленников. Для хранения паролей используйте специальные менеджеры паролей. К примеру, воспользуйтесь
- KeePass: http://keepass.info/
- LastPass: https://lastpass.com/
- 1Password: https://1password.com/
Не забывайте и про то, что злоумышленник может попытаться выудить у Вас информацию о доступе к сайту напрямую – через диалог. Например, представившись сотрудником техподдержки или представителем хостинга. Поэтому будьте бдительны и не сообщайте свои данные незнакомым людям.
Это также касается любых форм авторизации, которые выглядят подозрительно (и могут прийти в письмах от неизвестных или подставных отправителей): заполнив их, Вы можете дать злоумышленнику все данные от своего аккаунта.
Троян
Если на одном из компьютеров, которые имеют доступы на сервер по FTP (например, на Вашем), появится вирус, то он может перехватить FTP-пароли и передать их злоумышленнику. Избежать этого совсем несложно – обязательно устанавливайте антивирусные программы на все рабочие машины, следите за своевременным обновлением антивирусной базы и периодически сканируйте свои компьютеры на предмет возможных угроз. Другой классический совет – не загружайте файлы из сомнительных источников или из писем от неизвестных отправителей.
Также не забывайте про своевременную установку обновлений и патчей, иначе у Вас будет риск не закрыть вовремя дыру в Вашей безопасности.
Уязвимость CMS
Наличием уязвимостей часто грешат популярные CMS вроде WordPress, Joomla и Drupal. И, вероятно, именно поэтому их чаще всего и взламывают. Значит ли это, что следует отказаться от их использования? Нет. Это значит, что Вам обязательно нужно своевременно обновлять версию CMS. Если Вы видите в административной панели, что новая версия уже вышла, то сразу же установите ее на своем сайте.
Нелицензионное ПО и взломанные скрипты
Все, что Вы устанавливаете не из официальных источников, может иметь в себе вредоносный код. Это может быть, к примеру, шаблон для WP от какого-то неизвестного юзера или взломанный скрипт со стороннего сайта, который содержит в себе уязвимости, позволяющие в дальнейшем получить злоумышленнику контроль над Вашим сайтом и использовать Ваш ресурс в своих интересах. Поэтому если Вы собираетесь использовать так называемые «нулёные» скрипты (которые имеют в названии “.nulled”), то делайте это на свой страх и риск. Для безопасности своего ресурса от использования всех подозрительных скриптов, модулей и дополнений следует отказаться.
Вы также можете использовать специальные плагины защиты (например, в случае WordPress это может быть WordFence, BulletProof Security или Sucuri Security), главное, чтобы они были получены Вами из надежных источников и не содержали вирусы.
FTP
При работе с файлами на сервере лучше использовать не FTP, а более безопасные соединения: SFTP и SCP. Подобные соединения гарантируют защищенный канал связи между сервером и клиентом благодаря шифрованию данных, аутентификации клиента и сервера, а также наличию специальных функций протокола, которые предупреждают атаки злоумышленников.
Также Вы можете ограничить доступ к административной части сайта по IP-адресам.
SQL-инъекции
Применение подобной техники приводит к тому, что злоумышленник получает доступ к базе данных и может выполнить какой-либо запрос: к примеру, прочитать содержимое таблиц, а также изменить или удалить их. И чтобы защититься от SQL-инъекций, нужно:
- Проверять все данные, которые пользователи вводят на Вашем сайте, на наличие вредоносного кода и обрабатывать их специальными функциями (к примеру, mysql_real_escape_string – используя эту функцию, Вы сможете обезопасить вводимые данные перед их отправкой в MySQL).
- Ограничивать длину строк (чтобы нельзя было ввести длинный запрос). Это может касаться, например, поля «Имя», которое в большинстве случаев можно уложить в 10-15 символов.
- Ограничивать права пользователей на доступ в базу данных.
- Переименовать имена таблиц и столбцов на неочевидные. При попытке взлома злоумышленник будет подбирать названия, основываясь на самых известных: pass, users и т.д. Ему будет сделать это гораздо сложнее, если вместо “passwords” Вы будете использовать “secret letters” или что-нибудь другое не менее оригинальное (но при этом не стоит использовать полную абракадабру, иначе это усложнит работу с базой данных и Вам).
Вирусы на сайте
Если беда случилась, и на Вашем сайте появился чужой код, то главное – это оперативно узнать о произошедшем. К примеру, Вы можете подключить Ваш сайт к Яндекс.Вебмастер, который будет оперативно сканировать Ваш ресурс и сообщит о возникновении каких-либо проблем. Конечно, это не отменяет того факта, что необходимо регулярно проверять свой сайт на вирусы, например, при помощи детектора вредоносных скриптов AI-Bolit: https://revisium.com/ai/
Либо Вы можете настроить автоматическую проверку при помощи сервиса Virusdie: https://virusdie.ru/. Тогда этот антивирус и фаервол будет регулярно проверять Ваш ресурс на вирусы и присылать отчет Вам на почту.
Кстати, проверить, есть ли на Вашем сайте вирусы, можно и загрузив их на свой компьютер – в этом случае Вы убьете сразу двух зайцев: входящие файлы будут проверены на вредонос, а у Вас появится бэкап сайта на локальном компьютере. Однако надеяться только на антивирусник не стоит; для большей эффективности все же лучше использовать сканеры, предназначенные именно для сайтов.
Отмечу в заключении, что расслабляться при защите своего сайта никогда не стоит – постоянно следите за обновлениями, регулярно меняйте пароли, мониторьте активность на Вашем сайте, следите за чистотой системы, и тогда все злоумышленники Вам будут нипочем!
Комментарии