Улучшение безопасности сайта

45317

Что такое взлом сайта?

Сайт считается взломанным, если посторонний человек (без вашего ведома и неважно каким путем) получил доступ к файлам вашего сайта, которые хранятся на сервере.

Зачем взламывают сайты?

Как правило, сайты взламывают для того, чтобы заражать вирусом компьютеры пользователей, которые на них заходят. Еще одна очень важная цель - рассылка спама с помощью вашего сервера, а также размещение скрытых ссылок на различные сайты злоумышленников. В остальных случаях - это целенаправленный взлом, чтобы украсть информацию, либо требование денег, чтобы хакеры перестали взламывать сайт. Ну и конечно же конкуренты могут портить бизнес друг другу.

Способы взлома сайтов и защита от них

Кража паролей от FTP и хостинга

Если кому-то даете пароли от FTP/хостинг-аккаунта или административной части сайта, то вы должны быть точно уверены в том, что эти пароли не будут переданы еще кому-то.

Лучше вообще ограничиться лишь передачей паролей к FTP. А если нужен доступ к хостинг-аккаунту, то его можно, скорее всего, предоставить посредством функционала хостера и при этом не должно быть никаких рисков для вас.

Как избежать?

Старайтесь никому не давать пароли от хостинг-аккаунта и доступа по FTP. А если даете, то убедитесь, что у этого человека нет вирусов на компьютере. Также удостоверьтесь, что он надежен и не передаст ваши пароли третьим лицам, или сам не начнет вредить вашему проекту. Также многие провайдеры реализовали функционал по предоставлению временного доступа к хостингу. Рекомендуем лучше использовать его.

Поменяйте пароли на более длинные (сложные) и сотрудничайте только с проверенными людьми.

Хостинг-провайдер

Взлом может произойти и по вине хостинг-провайдера, но на сегодняшний день это достаточно редкая ситуация среди крупных хостеров, а у мелких и не проверенных компаний мы не рекомендуем вам заказывать услуги.

Что делать?

Здесь все просто - размещайте сайты на надежном хостинге, который имеет хорошую репутацию и много клиентов. В нашем футере можно найти рейтинги проверенных хостинг-провайдеров с учетом потребностей вашего сайта.

Взлом CMS (системы управления сайтом)

Не важно какая у вас CMS (платная, бесплатная или самописная). Если она популярная, то тысячи хакеров со всего мира ищут в ней уязвимости, чтобы иметь универсальный способ взломать одним махом десятки тысяч сайтов. Но если хакеры постоянно ищут "дыры" в коде систем управления сайтом, то разработчики этих CMS постоянно выпускают обновления (патчи), которые закрывают "дыры" и улучшают безопасность.

Что делать?

Следите за тем, чтобы на вашем сайте была актуальная версия CMS, причем скачанная с официального сайта разработчика, а не откуда попало. Если CMS разработана специально под ваш сайт (самописная), то актуальным будет заказать аудит безопасности сайта. Где его заказывать? Это сложный вопрос, т.к. компаний, которые качественно этим занимаются - единицы, и они берут за это немалые деньги. При выборе такой компании обращайте внимание на портфолио, а также спросите у их клиентов на сколько качественно они работают. Мы же подготовили рекомендации по безопасности для отдельно взятых CMS (Joomla и WordPress).

Взлом сайта через модули и компоненты

Если взять любую из вышеуказанных CMS в голом виде (без сторонних модулей и компонентов), то взломать ее будет трудно даже хакерам высокого уровня. Основную опасность несут расширения (модули, компоненты, плагины), которые создаются сторонними разработчиками. Так например, устанавливая компонент комментариев, который создан на тяп-ляп, вы позволите хакеру вместо комментария или прикрепленной картинки залить на ваш сайт PHP-скрипт, который и позволит совершить взлом.

Что делать?

Не используйте дополнительные расширения от подозрительных разработчиков. Бесплатных плагинов очень много, и далеко не все они являются опасными для ваших сайтов. Скачивайте плагины из оф.источников или по рекомендациям знакомых, у которых эти плагины уже работают на сайте несколько лет.

Установка прав доступа на файлы

Если установить права 777 на какой-либо файл вашего сайта, то это будет означать, что любой человек сможет прочитать, записать и выполнить этот файл. И конечно же это ведет к тому, что однажды хакер забросит на ваш сайт PHP-код, который его взломает и даст контроль над сайтом.

Как исправить?

Старайтесь, чтобы на все папки Вашего сайта были выставлены права 755, а на файлы - 644. Но в первую очередь посоветуйтесь с разработчиком CMS, хостером или опытным программистом, т.к. изменение прав на файлы может привести к тому, что сайт будет работать некорректно. Детальнее о правах доступа и их изменении читайте в нашей статье.

SQL-Инъекция

В большинстве современных сайтов используются базы данных (SQL), которые нужны для динамического формирования страниц сайта, исходя из действий пользователя. Весь этот процесс происходит с помощью SQL-запросов. В итоге опытный хакер может с помощью входных данных ввести нужный ему SQL-код, который выполнится на сервере и приведет к взлому сайта.

Как защититься?

В первую очередь использовать хорошо защищенную CMS. Если же вы разбираетесь в программировании, то от SQL-инъекций можно спастись с помощью фильтрации SQL-запросов. Например, в PHP есть функция mysql_real_escape_string, которая удаляет потенциально опасный код из запросов.

XSS (межсайтовый скриптинг)

Суть этой атаки сводится к тому, что хакер подкладывает вредоносный код вместо полей для логина, пароля и прочих данных, которые могут вводить пользователи.

Как избежать?

К сожалению, таким атакам часто подвергаются даже очень известные сайты (VK, Facebook и т.д.) и противостоять им достаточно трудно. Наш совет - используйте хорошую CMS или наймите опытного программиста. Если на программиста нет денег, то постарайтесь убрать со своего сайта возможность зарегистрироваться и иметь собственный аккаунт для любых пользователей.

Вирусы на вашем компьютере

Абсолютно не зря везде и всюду утверждают “Надо проверять компьютер на вирусы”, “Обновляйте антивирус” и т.д.. Да, действительно, если на вашем компьютере есть вирусы, то с очень большой долей вероятности этот же вредоносный код уже “украл” все ваши логины и пароли от всего: почта, интернет-банкинги, административная панель сайта, базы данных, доступы ко всем вашим личным кабинетам.

Что делать?

Старайтесь не хранить пароли на компьютере и тем более в браузере. Регулярно проверяйте компьютер на вирусы и при необходимости “чиститесь” от них. Антивирус тоже надо постоянно обновлять. Пользуйтесь только проверенными и надежными антивирусными ПО или же вообще переходите на UNIX-подобные системы.

Не скачивайте и не устанавливайте подозрительное ПО, не скачивайте картинки из писем от неизвестного отправителя и, тем более, не переходите по ссылке в теле таких писем.

Советы по безопасности сайта

Проверяйте сайт на наличие вирусов. О том, как это сделать читайте здесь.
Делайте бекап сайта как можно чаще (для большинства сайтов - раз в сутки).
Лог-файлы содержат все запросы отправляемые к серверу и, как правило, могут помочь выявить лазейку, через которую сайт был взломан. Если вы в них конечно разбираетесь... Но даже если не разбираетесь, то сохраняйте их как можно чаще, т.к. хостинг-провайдер хранит логи определенное время (около 2 недель). Если же ваш сайт заразили в более ранний срок, то использовать лог-файлы для обнаружения "дыры" уже не получится.
Если на вашем сайте есть функции оплаты (нужно вводить номера банковских карт и т.д.), то либо используйте безопасный протокол https, либо пользуйтесь внешними сервисами оплаты.
Изучите функционал хостера. Большие хостинг-компании, как правило, заботятся о безопасности услуг и сайтов своих клиентов, и потому вы можете найти множество популярных способов защитить свой сайт непосредственно в панели управления хостера.
Поставьте своему разработчику сайта задачу защитить сайт от взлома и внимательно изучите отчет выполненных работ. Посоветуйтесь с еще одним разработчиком и попросите проверить точно ли закрыты все “дыры” вашего сайта. Если на первый взгляд вам покажутся эти мероприятия дорогими и бессмысленными - представьте насколько дорого вам обойдется взлом вашего сайта и принимайте для себя правильное решение.

Редактор материала • Евгений Буровинский Хостинг-эксперт (опыт работы 8 лет) Основная специализация - составление обзоров хостинг-провайдеров, формирование рейтингов, маркетинговые исследования рынка хостинга. Очень дотошный человек, скрупулезно тестирующий каждый хостинг.

Провайдеры с безопасным хостингом

Rank	Хостинг	Клиенты	Оценка	Отзывы
1	Beget.ru	200000	4.9 ★	159
2	AdminVPS.ru	21000	4.8 ★	230
3	Mchost.ru	65000	4.7 ★	301

Смотреть весь рейтинг

Только эксперты отвечают на ваши вопросы

Как проверить сайт и сервер-хостинг на уязвимости?
- 17/11/2016
- Просмотров 3565
4 ответа
Как защитить сайт от скачивания файлов движка?
- 30/11/2016
- Просмотров 2951
3 ответа
Как защитить личные данные пользователей, которые хранятся в базе данных MySQL?
- 05/12/2016
- Просмотров 2859
1 ответ
Как проверить парсят ли мой сайт и как от этого защититься?
- 06/06/2017
- Просмотров 2797
1 ответ
Открытый или закрытый код лучше использовать при создании сайта?
- 25/10/2017
- Просмотров 2116
5 ответа

Не нашли ответ на свой вопрос?

Задайте его экспертам! Ответ приходит очень быстро и прямо на ваш email.

Мы старались для Вас!

Команда экспертов (20)

Рейтинги хостинг-провайдеров по задачам сайта

Апреля

Fornex.com

Хостинг по странам

Панель управления
От панели управления зависит ваше удобство в настройке хостинге\сайта.

Большинство качественных хостингов из нашего ТОПа используют удобные панели управления, поэтому рекомендуем больше внимания уделить другим параметрам при выборе.

Хостинг для

Вид хостинга
Облачный хостинг - распределение нагрузки на несколько серверов, если сервер с вашим сайтом перегружен или не работает. Это гарантия того что пользователи в любом случае смогут видеть ваш сайт. Но это дорогая, более сложная опция, которую предоставляют далеко не все провайдеры.

Виртуальный хостинг - подходит для большинства проектов начального уровня с посещаемостью до 1000 человек в сутки. В таком хостинге мощность сервера делится между несколькими хостинговыми аккаунтами. Услуга проста в настройке даже для новичков.

VPS - подходит для более сложных проектов с достаточно большой нагрузкой и посещаемостью до 10000 человек в сутки. Здесь мощность сервера фиксированная для каждого виртуального сервера, при этом сложность настройки увеличивается.

Выделенный сервер - нужен для очень сложных и ресурсоемких проектов. Для вас выделяют отдельный сервер,мощность которого будете использовать только вы. Дорого и сложно настраивать.

Размещение и обслуживание вашего собственного сервера в дата-центре хостинга - это не очень популярная услуга и требуется в исключительных случаях.

CMS
CMS - это система управления контентом сайта. Хостеры стараются для каждой из них делать отдельный тариф или упрощать установку. Но в целом это больше маркетинговые ходы, т.к. у большинства популярных CMS нет специальных требований к хостингу, а те что есть - поддерживаются на большинстве серверов.

Тип виртуализации
Виртуализация - это создание виртуальной среды на физическом сервере, позволяющая запускать требуемые ПО без затрагивания процессов, совершаемых другими пользователями сервера. С её помощью ресурсы физического сервера распределяются между виртуальными (VPS/VDS). Основные виды: аппаратная (KVM), паравиртуализация, виртулизация на уровне ОС (OpenVZ).

Прочее
Абузоустойчивый хостинг - компании, которые разрешают размещать практически любой контент, даже запрещенный (спам, варез, дорвеи, порнографические материалы). Такие компании не удаляют контент вашего веб-сайта при первой же жалобе (“абузе”).

Безлимитный хостинг - хостинг у которого отсутствуют лимиты на количество сайтов, БД и почтовых ящиков, трафик, дисковое пространство и т.д. Обычно это больше маркетинговый трюк, но можно найти что-то интересное для себя.

Безопасный хостинг - тот, где администрация постоянно обновляет ПО установленное на серверах, устанавливает базовую защиту от DDoS-атак, антивирус и файерволлы, блокирует взломанные сайты и помогает их "лечить".

Защита от DDOS - компании, которые предоставляют хостинг с защитой от DDoS-атак. Такие пакеты ощутимо дороже обычных, но они стоят своих денег, так как ваш сайт будет защищен от всех видов сетевых атак.

Бесплатный тест
Тестовый период - предоставляется хостером бесплатно на 7-30 дней, чтобы вы могли удостовериться в его качестве.

Moneyback - период на протяжении которого хостер обязуется вернуть деньги, если вам не понравится хостинг.

Региональные

Домены

Цена
Настоятельно рекомендуем не покупать слишком дешевый хостинг! Как правило с ним очень много проблем: сервер иногда не работает, оборудование старое, поддержка долго отвечает или не может решить проблему, сайт хостера глючит, ошибки в регистрации, оплате и т.д.

Также мы собрали тарифы от тысяч хостеров, чтобы вы могли выбрать хостинг по конкретной цене.

Способы оплаты

Дата-центры

Технологии и ОС
На языке программирования PHP и базах данных MySQL сейчас работает большинство сайтов. Они же поддерживаются практически всеми современными хостингами.

ASP.NET - платформа для разработки веб-приложений от Майкрософт.

ОС - операционная система, установленная на сервере хостинга. Мы рекомендуем размещать на серверах с Linux, если нет особых требований у разработчиков сайта.

Тип диска