В последние годы все больше и больше вебсайтов подвергаются взлому. Основная цель таких взломов, внедрить вредоносный код в ваш сайт и заразить компьютеры посетителей вашего сайт, но есть и такая группа злоумышленников которые взламывают сайты ради спортивного интереса или в погоне за местью, такие вот горе "хакеры" могут как минимум заменить главную страницу вашего сайта, заархивировать сайт паролем и просить выкуп или же как максимум вовсе его удалить.
Данное руководство будем полезно всем тем у кого есть сайт или для тех кто планирует заиметь его в ближайшее время, но при этом не очень сильно разбирается в веб технологиях. Нижеприведенные советы включают в себя только основы безопасной работы в сети. Реальная защита включает в себя гораздо больше аспектов.
Технологии не стоят на месте, так что это тема будет обновятся и я постепенно буду добавлять новые методы превентивной защиты вашего сайта.
Методы взломов и их противодействия:
1. Подбор пароля
Как взламывают: При нынешних компьютерных мощностях взломать восьмизначный пароль в нижнем регистре (маленькие буквы) можно за несколько часов. С помощью специальных скриптов злоумышленник пытается подобрать пароль доступа к вашему сайту (это может быть как доступ к панели администрирования сайта или так и FTP).
Как защитится: Чтобы обезопасить себя от таких проблем НЕ используйте в качестве пароля слова, даты, клички любимцев т.д. Используйте десяти и выше значные сложные пароли с использованием строчных и прописных букв, цифр и очень желательно спецсимволов (например @#$%&*). Пример: Fm%w5PH2oG@6ttR. Понятное дело, что запомнить такое пароль очень сложно поэтому вам очень помогут такие программы как KeePass или LastPass. Это бесплатные менеджеры паролей, которые позволяют безопасно хранить ваши пароли. Вам нужно задать всего лишь один сложный, но легко запоминаемый вами пароль для входа в систему - а внутри хранить пароли от других сайтов. Также рекомендуется поменять пароли хотя бы раз в 3-6 месяцев.
Если ваша система управления позволяет, то лучше включить временную блокировку если например пароль был введен неправильно 5 раз подряд.
2. Использование одного пароля для доступа на многие сайты
Как взламывают: Злоумышленники взламывают какой то сайт, потом начинают расшифровывать пароли пользователей этого сайта. Если у вас был аккаунт на этом сайте и вы используете один и тот же пароль на всех сайтах, включая ваш собственный, то вы очень легко можете стать жертвой хакеров.
Как защититься: Для каждого сайта использовать свой уникальный и сложный пароль (см. пункт 1)
3. Взлом вашего хостинг поставщика
Как взламывают: Взлом хостинг компаний (компаний где у вас размещен сайт) - это лакомый кусочек для злоумышленников, взломав хостера они могут получить доступ сразу ко всем сайтам данной компании. Чаще всего такое происходит с маленькими хостинг компаниями которые недостаточно грамотно настроили свой сервис. В особенно запущенных случаях может случится так, что взломают сайт вашего соседа по хостингу и через него получат доступ к вашему сайту.
Как защитится: Не гонятся за дешевизной и работать только с хостинг компаниями которые уже давно на рынке. Перед тем как разместить сайт на какой нибудь хостинг, почитайте отзывы о них в интернете. Если отзывов о компании нет, то это уже повод подумать стоит ли с ними работать. Не стесняйтесь спросить как у них обстоят дела с безопасностью, есть ли у них хотя бы примитивные методы обнаружения атак. Сейчас в интернете очень много реселлеров, которые арендовав сервер предлагают всем место на своем сервере за $1-5 в месяц. Это еще может грозить тем, что в один прекрасный день ваш сайт просто исчезнет как и ваша "хостинг компания".
4. Вирусы, трояны и кейлоггеры
Как взламывают: Один из наиболее популярных методов взлома сайтов. Заражение компьютера вирусами и троянами стало уже обыденным явлением. Троян вы можете подхватить получив письмо по почте, открыв незнакомые ссылки или просто даже бродя по интернету. Если вы используете FTP менеджеры (например Filezilla или CuteFTP), которые кстати хранят пароли в открытом виде - то от момента когда в ваш компьютер попадет вирус и ваш сайт заразят вредоносным кодом пройдет около минуты(!). Если вы заходили на ftp или в панель администрирования с незнакомых или публичных компьютеров, то это очень сильно поднимает шанс, что вас скоро взломают.
Как защититься: Не использовать для доступа к "внутренностям" вашего сайта чужие или публичные компьютеры. Не сохранять пароли в FTP клиентах. Не посещайте сомнительные сайты. Используйте антивирусы. Если есть подозрение, что в вашем компьютере есть вирус, лучше сразу сменить все пароли.
5. Взлом через Wi-Fi
Как взламывают: Если вы находитесь в одной сети со злоумышленником (например подключились к бесплатному Wi-Fi в McDonalds или в аэропорту), то он анализировав пакеты передаваемые в сети может перехватить ваши пароли или же перехватив вашу сессию войти под вашим именем. Кстати таким образом чаще воруют пароли доступа к социальным сетям.
Как защитится: Оптимально - не пользоваться открытими и публичными wifi. А если уж используете - то для всегда используете только на https версии сайта (для Firefox и Chrome есть специальный плагин HTTPS Everywhere), для доступа к файлам вашего сайта используйте протокол только SFTP вместо FTP (буква S в https и SFTP означает, что информация между вами и сервером передается в шифрованном виде и даже перехватив его, злоумышленник не сможет его расшифровать). А в идеале лучше использовать VPN. VPN позволяет создать надежную и защищенную сеть на основе ненадёжной сети (подробнее что это такое можно прочитать в википедии). Хороший VPN сервис стоит денег ($5-10 в месяц), но есть и такие которые можно использовать бесплатно, правда они показывают рекламу, для примера Hotspotshield.
Всегда нажимайте Выход или Logout когда заканчивайте работу с сайтом, просто закрытие окна недостаточно безопасно.
6. Уязвимость в скриптах
Как взламывают: Самый популярный метод взлома. Используя уязвимости в скриптах, злоумышленник может получить доступ к вашей базе данных, украсть пароли, расшифровать их и получить доступ к сайту или же напрямую получить доступ к файлам, загрузить специальную программу shell и контролировать ваш сайт и все его содержимое.
Как защитится: Если вы используете уже готовую CMS (например Wordpress, Drupal, Joomla, DLE), то всегда обновляйте версию вашего CMS движка до последней версии. Не используйте плагины из сомнительных сайтов, обновляйте плагины по мере выхода новых версий. Грамотное использование CMS позволяет снизить шансы взлома вашего сайта.
Если вы используете самописный скрипт - то это палка о двух концах, с одной стороны злоумышленникам будет незнакома архитектура сайта, не будет известных уязвимостей для быстрого взлома, а с другой стороны в нем могут быть очень много недочетов которые позволит злоумышленнику легко получить доступ к вашему сайту.
Если вы используете VPS в качестве хостинга то имеет смысл нанять специалиста которые вам грамотно настроит сервер (такие услуги стоят от $10 до $100 в зависимости от объема работ).
6. Взлом почты
Как взламывают: Чаще всего почту взламывают или трояном (см. пункт 4) или методом восстановления пароля. Получив доступ к почте, злоумышленник может получить доступ практически ко всем сайтам к которым привязана эта почта.
Как защитится: Использовать различные почтовые адреса для регистрации и для ежедневного использования. Не хранить пароли в почте. Использовать сложные пароли (см пункт 1). Всегда нажимайте Выход или Logout когда заканчивайте работу с почтой. В качестве секретных вопросов не используете данные которые могут легко быть получены через социальные сети (фамилия матери, город рождения, клички животных и т.д.). Если это возможно - используйте двух факторную авторизацию для доступа к вашей почте. Перед тем как набрать логин и пароль, убедитесь что вы на сайте на котором вы должны быть а не на фишинговом сайте который копирует дизайн вашей почты.
Важно добавление: Резервное копирование. Всегда, всегда, всегда делайте резервное копирование вашего сайта. В идеале у вас должно быть три резервной копии, одна на самом хостинге, вторая в вашем компьютере, третья на другом хостинге, желательно даже в другой стране. Как часто делать бекап зависит от вас. Если вы часто обновляйте ваш сайт, то желательно делать ежедневный и еженедельный бекап, если не так часто - то ежемесячного бекапа может быть достаточно.
Всякое может случится - ваш сайт могут заразить вирусом, или же злоумышленники удалят все ваши файлы - вот тогда резервное копирование позволит вам быстро и без головной боли восстановить ваш сайт. Но получив доступ к вашему сайту, злоумышленник может удалить резервную копию - поэтому лучше иметь дополнительную копию у вас в компьютере, на другом хостинге или даже в Dropbox.
Инструменты для веб мастера:
1. Если ваш сайт взломали и заразили вирусом, то вам поможет отличная программа AI-Bolit. Это программа позволяет найти (но не удалить) вредоносные коды на вашем сайте.
2. Добавьте ваш сайт в Google Webmaster Tools и/или Яндекс Вебмастер - вы получите достаточно много информации касательно индексации вашего сайта этими поисковиками, а также получите уведомление если на вашем сайте будет замечен вредоносный код или ваш сайт будет недоступен.
3. Воспользуйтесь сайтами типа ChangeDetection или ChangeDetect чтобы получить уведомление когда содержимое вашего сайта изменится без вашего ведома.
Если у вас есть вопросы - буду рад ответить.
Социальные закладки