Как обезопасить свой сайт на виртуальном хостинге?

Обсудить
Как обезопасить свой сайт на виртуальном хостинге?

Из всех доступных видов хостинга виртуальный является самым распространенным и, с точки зрения безопасности, наиболее уязвимым.

Честно говоря, когда речь заходит о безопасности, большая часть пользователей предпочитает отрицать возможность взлома, говоря: «Я слишком мал, чтобы меня взламывать» или «Займусь этим, когда у меня будет больше времени». Это бесконечные отговорки, которые мы придумываем, чтобы избежать трудоемкого процесса по укреплению безопасности сайта. Более того, одной мысли о создании резервной копии достаточно, чтобы отбить у нас желание этим заниматься.

Как мотивировать себя серьезнее относиться к безопасности?

Один из вариантов мотивации, который может работать — счетчик, показывающий время, которое было затрачено на ваш проект. Например: прошел год, вы вложили в среднем 8 часов в день, что равняется 2920 (8 x 365) часам усилий. Обидно будет, если это время в итоге будет потрачено впустую.

Если вы всерьез решили задуматься над безопасностью своего сайта, давайте рассмотрим, что можно сделать, чтобы его защитить.

Создание регулярных резервных копий

Создание регулярных резервных копийЧасто взломы настолько ужасны, что стирают все данные, а иногда вредоносный код зарывается глубоко в фундамент сайта и может удалять файлы даже после тщательной проверки и чистки.

В таких случаях сложно придумать что-то лучше, чем восстановить весь сайт из резервной копии. Просто взять копию, которая без проблем работала раньше, и импортировать ее.

Что вы теряете? Данные, добавленные после создания копии. Зато ваш сайт работает.

Тем не менее, есть несколько вещей, которые нужно знать о резервном копировании.

  1. Восстановление.
    Резервное копирование ничего не значит, если, когда это необходимо, нет возможности быстро восстановить резервную копию. Скорее всего, у вашего хостинг-провайдера есть возможность восстановления копии, но уверены ли вы, что эта функция работает?
    А если предположить, что у вас нет возможности самостоятельно запустить восстановление, или эта функция отсутствует, знаете ли вы, как самостоятельно настроить резервное копирование?
    Это наверняка удивит, но со временем ваш сайт может настолько разрастись, что восстановление его из резервной копии может стать серьезной проблемой. Скорее всего, вам не сильно-то захочется тратить свое время и энергию на приобретение необходимых навыков для самостоятельной настройки этой функции.
  2. Частота.
    С какой частотой делать резервные копии? В этом вопросе необходимо учитывать две вещи: размер занимаемых данных и критичность работы сайта.
    Предположим, ваш сайт занимает в общей сложности 30 ГБ. Если вы планируете делать резервные копии ежедневно, за первый месяц вы заполните 930 (30 x 31) ГБ. Так, за 3 месяца выйдет 2790 Гб, а за полгода 5580 Гб. Хранение такого объема данных на виртуальном хостинге увеличит стоимость услуг в разы.
  3. Решение.
    Отбрасывать копии старше определенного срока. Обычно достаточно делать резервные копии два раза в неделю и хранить их месяц.
    Если вы ищете надежный виртуальный хостинг для размещения вашего сайта, который предлагает ежедневное резервное копирование с быстрой возможностью восстановления из резервной копии, попробуйте Timeweb. Сами копии, к слову, хранятся ровно месяц с момента их создания.

Двухфакторная аутентификация

Двухфакторная аутентификацияТе, кто знает о двухфакторной аутентификации, не сомневаются в ее эффективности. Если в данный момент по какой-то причине она у вас не подключена, сейчас самое время это сделать. Зачем? Даже если злоумышленник получит пароль от вашего аккаунта, без доступа к вашему телефону он не сможет войти в аккаунт.

Система может запросить при входе ответ на секретный вопрос, предоставить код, отправленный по SMS или на email, или использовать какой-нибудь другой способ для подтверждения личности. Учитывая, что большинство, не задумываясь, ставят обычный пароль без каких-либо дополнительных способов подтверждения, злоумышленник легко взломает браузер и получит ваш пароль. Чтобы это исключить, лучше всего установить двухфакторную аутентификацию.

Более безопасные пароли

Основная проблема с «безопасными» паролями, которые мы придумываем, заключается в том, что они не так уж и безопасны. С небольшим количеством знаний о вашей личной жизни и с помощью атаки Dictionary Attack (перебор по словарю) шансы взлома очень высоки.

В качестве решения рекомендуется использовать генератор паролей (как пример, рекомендую RandStuff), который имеет настройки по длине и сложности генерируемого пароля.

Ваша главная задача — сгенерировать пароль, который вы не сможете запомнить. Пароли, которые легко запомнить, легко и взломать.

Вот несколько вариантов паролей, которые будет очень сложно взломать (сгенерированы с помощью вышеупомянутого сервиса):

  • S71UpHl3uf1z2Wo4
  • iv7RAx7I(#n3o1*#
  • &8dT&4zN3T&53&uR

Однако здесь стоит учесть, что не все спец. символы могут корректно приниматься сервисом, для которого создается пароль. Если система не принимает сгенерированный пароль, стоит поэкспериментировать и понять, какой именно символ не поддерживается.

Также, если у вас есть сайт, на котором присутствует возможность создать учетную запись, убедитесь, что пользователь не может создать слишком простой пароль. Будет очень обидно потерять активного пользователя из-за того, что его пароль просто подобрали и удалили учетную запись.

Регулярное обновление ПО

Если ваш аккаунт виртуального хостинга предоставляет вам возможность обновлять установленное ПО через панель администрирования, рекомендую периодически это делать. Потому что новое программное обеспечение исправляет лазейки безопасности, обнаруженные в предыдущих версиях.

Так, для сайтов, созданных на CMS WordPress, существуют плагины, которые очень легко и быстро выполняют поставленную задачу. Это еще один момент, который стоит того, чтобы вы обратили на него внимание. Вам необходимо быстро добавить какой-то функционал, и вы сталкиваетесь с источником, предлагающим то, что вам нужно — скорее всего, это будет даже бесплатно. Демонстрация потрясающая, и вы думаете, что не добавить эту функцию просто нельзя!

Увы, все не так радужно, как кажется. Сторонние дополнения / расширения могут стать причиной возникновения не самых приятных проблем — в них может содержаться вредоносный код, который с легкостью украдет сохраненные вами пароли или информацию о кредитных картах.

Также следует отметить, что опасно слушать разработчика, который говорит, что проверил код — мир недобросовестных разработчиков чрезвычайно извращен, они обнаруживают уязвимости постоянно и с каждым днем придумывают более сложные способы маскировки своих вредоносных программ.

Всегда берите какие-либо расширения из доверенных источников. Для пользователей CMS WordPress рекомендую брать их из списка официальных плагинов, так как они подверглись строгой проверке на качество и безопасность, и то же самое можно отнести и к другим платформам.

Выбор более безопасного хостинг-провайдера

Не все хостинг-провайдеры созданы одинаково качественно и на совесть. В этом мире агрессивной рекламы может быть трудно отличить хороших от плохих.

Инфраструктура хостинга — сложный зверь, и ни рейтинги, ни отзывы, ни дизайн сайта не могут гарантировать качественное предоставление услуги хостинга. Скажем так, если у вас проблемы, не стесняйтесь прийти к более дружелюбному хостинг-провайдеру, который сможет обеспечить безопасную работу ваших проектов в уже подготовленной для этого среде. Так, я бы посоветовал вам держаться подальше как от очень старых, очень крупных компаний, так и от тех, что только появились и начали свою работу.

Переход к более безопасному, более производительному хостинг-провайдеру поможет сэкономить часы головной боли и бессонных ночей.

У меня есть несколько друзей, которые управляют контент-ориентированными сайтами на WordPress, большая часть проблем которых просто испарилась, как только они сделали этот смелый шаг, и за многие годы у них не было ни одной проблемы.

Защита от DDoS

Дело в том, что интернет это «Всемирная паутина». Любой человек из любого места может получить доступ к вашему сайту или попытаться его взломать.

Чем больше запросов одновременно поступают к вашему сайту, тем больше они съедают системные ресурсы и нагружают полосу пропускания.

Сайты хостеров заявляют о «неограниченной» полосе пропускания виртуального хостинга, но поверьте, это не так. Даже если предположить, что они имеют неограниченную передачу данных, не стоит забывать о том, что физические сети имеют ограниченную пропускную способность. Другими словами, ваш сайт может обслуживать в одно и то же время ровно столько пользователей, сколько позволит полоса пропускания. Если количество пользователей будет максимальным или превышать максимум, ваш сайт будет становится очень медленным.

На основе этого и работает распределенная атака отказа в обслуживании — DDoS. Чаще всего такую атаку организует злоумышленник, заставляя большое количеством компьютеров под его управлением посещать целевой сайт. Эта атака остается одной из самых нежелательных форм атак, так как практически неотличима от большого количества пользователей, делающих запросы к вашему сайту.

Некоторые компании (Cloudflare, SUCURI) создали системы защиты от DDoS-атак, основанные на анализе общих моделей трафика. И хоть данная защита и может встать в приличную копеечку, каждый сам для себя решает, насколько критична бесперебойная работа его проектов.

Облачный брандмауэр

Брандмауэр — это программное обеспечение, работающее в сети на вашем компьютере, которое блокирует или разрешает запросы на основе определенных правил. Если еще не стало очевидно, что такое «облачный» брандмауэр, то вот картинка, объясняющая как это работает:

 

Облачный брандмауэр

Правильно настроенный брандмауэр обеспечивает больше защиты, чем все остальные меры, вместе взятые. Если сети технических гигантов неприступны, то заслуга этого в том, что их страшные брандмауэры агрессивно фильтруют весь входящий и исходящий трафик. Злоумышленник, пробующий воспользоваться уязвимостью или даже проверить ее наличие, в ту же секунду будет внесет в черный список брандмауэра.

Выводы

Существует еще множество вариантов, как обезопасить вас и ваши проекты, однако если вы возьмете на вооружение то, что описано в этой статье, вы будете защищены на 99.9% и выше.

Особенно это касается пользователей WordPress, так как по своей конструкции это не очень безопасная платформа. Будь у вас даже простой HTML-лендинг, помните, что DDoS-атаки могут испортить впечатление о вашем сайте, его пользователях и вашем хостинг-провайдере.

Комментарии