Как не попадать в списки взломанных сайтов: правила, которые работают

15.10.2020
Как не попадать в списки взломанных сайтов: правила, которые работают

Усложняются ли способы взлома сайтов вместе с развитием технологий? Практически нет. Потому что главная причина инцидентов остается неизменной — человеческий фактор. А люди эволюционируют медленнее, чем технологии. Но это не значит, что ничего нельзя сделать: информация остается самым ценным активом, и ее нужно защищать.

За последний месяц на слуху было сразу несколько громких взломов: в списке «пострадавших» и МВД, и Белтелерадиокомпания, и популярный ресурс kyky.org, и, кстати, hoster.by. Радует только то, что «хакеры» в это непростое время отличаются некоторым благородством и сильно не жестят. Но могут. Наши технические специалисты собрали основные советы, чтобы вы не попали в неприятности на ровном месте и не сделали работу злоумышленника слишком скучной.

Начните с оценки рисков. Вы храните персональные или другие конфиденциальные данные? Какой вред могут причинить злоумышленники, если им в руки вдруг попадает информация с сайта или доступ к нему? Степень обеспокоенности должна быть прямо пропорциональна рискам.

Если возможные последствия серьезны, то информационная безопасность должна быть отдельным направлением работ для вашего проекта. Помимо соблюдения очевидной цифровой гигиены мы рекомендуем провести пентест — это испытание на проникновение, комплексная оценка уязвимостей и слабых мест проекта.

Также рекомендуем проанализировать 2 направления, через которые злоумышленникам легче всего «зайти в гости»: рабочие места администраторов и собственно сайт.

  1. Учетные записи: обязательно следите за их составом и удаляйте неактуальные записи. Как только сотрудник уходит из компании или меняется подрядчик — старые данные доступа сразу должны быть удалены.

  2. Если есть возможность включить двухфакторную авторизацию или ограничение по IP — не пренебрегайте такой возможностью. В первом случае для доступа в административную часть потребуется дополнительное действие (например, ввести код из смс-сообщения после логина и пароля). Во втором случае доступ возможен только с определенных устройств или сети. Кстати, все эти способы защиты уже работают для личного кабинета hoster.by, вы можете подключить их в настройках профиля.

  3. Сложные, периодически обновляемые пароли. Вы об этом знаете, но мы просто напомним еще раз. И еще раз. Как и о том, что их нельзя пересылать друг другу в мессенджерах и по почте. А если вдруг очень надо, то сообщение лучше сразу удалить.

  4. Не подключаться через незнакомые и тем более общественные Wi-Fi точки. Как бы удаленный режим работы не способствовал идее править контент сайта из любимой кафешки, это очень небезопасно. Если очень хочется, переведите смартфон в режим модема и подключитесь через него. Это не очень здорово, но точно лучше незнакомых сетей, которые к тому же могут оказаться фейковыми, созданными как раз для перехвата данных.

  5. Обновление CMS до последней версии. Система управления контентом, на которой работает ваш сайт, должна регулярно обновляться. Иначе это будет магнит для взломщиков с обширной коллекцией уязвимостей. Если ваш сайт работает в hoster.by на unix-хостинге, то CMS будет обновляться автоматически. Если у вас другой провайдер, то уточните у него о такой опции или заведите привычку проверять обновления вручную. Но нам кажется, что это время можно потратить на более интересные дела.

  6. SSL-сертификат. О нем часто говорят и по-прежнему не очень часто устанавливают на сайт. Хотя наличие SSL на сайте входит в топ правил цифровой гигиены: на него смотрят и все браузеры, и поисковики, и сколько-нибудь опытные интернет-пользователи. Он переводит обмен данными из небезопасного http в защищенное https-соединение и шифрует всю проходящую информацию. Уточните, включает ли ваш хостинг-тариф бесплатный SSL или купите услугу отдельно — это недорого, базовый сертификат обойдется всего 40 рублей в год.

Разумеется, единого решения для защиты от все типов атак, sql- и html-инъекций, ошибок системы аутентификации и хранения сессий и прочих слабых мест в системе безопасности попросту не существует. Но цифровая гигиена — это образ жизни, который прививается ежедневной практикой и дает огромные результаты на длинных дистанциях.

Если у вас есть вопросы или потребность в сложных настройках для обеспечения безопасности данных — обращайтесь к нашим специалистам. Мы поможем не только начинающим владельцам сайтов, но и тем, кто работает персональными данными, коммерческой тайной и любым типом информации ограниченного распространения.