Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
Вход
  • Русский
  • Українська
  • UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  Vodafone
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Проверка безопасности сайта: чек-лист

Блог Хостинг Защита сайта: проверка безопасности сайта, чек-лист

Интересный факт, но с каждым годом число взломанных веб-сайтов растет. Вы, как владелец сайта, можете даже не задумываться о том, что безопасность вашего веб-ресурса постоянно находится под угрозой. Сайт практически каждой компании хранит и обрабатывает персональные данные пользователей, конфиденциальную информацию, реализует прием онлайн-платежей. 

Но даже если кража данных либо нарушение работы сайта не является целью взлома, то у киберпреступников существуют также другие причины для этого – рассылки спама или временное использование веб-сервера для хранения файлов (зачастую, нелегального содержания).

Взломы производятся специально записанными автоматизированными скриптами. Они “прочёсывают” интернет в попытке взломать сайты, имеющие известные дыры в программном обеспечении.

Немного статистики:

  • По результатам данных исследования Security Magazine, в среднем, атака в сети происходит каждые 39 секунд, а используемые незащищенные имена пользователей и пароли дают злоумышленникам больше шансов на успех.

  • По данным McAfe, хакеры ежедневно создают 300 000 новых вредоносных программ. 

  • В то же время количество защищенных приложений возрастает за счёт использования современной защиты: в 2019 году их количество составляет 26% от числа разрабатываемых приложений.

  • Согласно источнику Breach Level Index, кибермошенники крадут 75 записей каждую секунду.

  • Каждый год более 15% пользователей становятся жертвами мошенников, похитивших их персональные данные или данные банковских карт с коммерческих сайтов.

  • 82% «лазеек» для злоумышленников приходятся на ошибки в коде приложения.

Веб-ресурсы, которые входят в зону риска:

  1. Сайты финансовых учреждений.

  2. Правительственные сайты.

  3. Страницы мобильных операторов.

  4. Медиа, имеющие высокую степень влияния.

Даже если вы владелец малого бизнеса, угрозу недооценивать не стоит. Вероятность того, что именно вы станете мишенью киберпреступников, довольно высока. Небольшие сайты используются мошенниками в качестве плацдармов для отработки приемов по взлому, похищению данных, для дальнейших распределенных атак на другие сайты.

Основные виды уязвимостей, которыми пользуются преступники:

  • Использование открытых протоколов передачи данных, без SSL.

  • Взлом паролей.

  • Взлом CMS.

  • Взлом при помощи плагинов и модулей CMS.

Данный перечень вариантов – не полный, с каждым годом количество подобных проблем возрастает.

Основные принципы безопасности сайта

Так на какие факторы стоит обратить внимание владельцам сайта, которые хотят повысить безопасность своей страницы? Мы составили список обязательных принципов, с помощью которых вы сможете обезопасить ваш сайт:

  1. Обязательное планирование мер безопасности.

  2. Периодическое проведение анализа защищенности сайта: с каждым днем количество угроз возрастает, преступники совершенствуют свои инструменты.

  3. Периодическое тестирование безопасности веб-приложений: все по той же причине.

  4. Исправление уязвимых мест в случае их выявления. 

  5. Ввод максимального разграничения прав для пользователей и администраторов сайта.

  6. Использование только надежных паролей.

  7. Использование только лицензионного софта.

  8. Регулярное обновление CMS – обязательно для защиты сайта.

  9. Если вы не уверены в своих силах – обращайтесь к специалистам для настройки безопасности.

Аудит безопасности сайта: какие меры предпринять?

Вы можете оценить уровень защищенности вашего сайта с помощью онлайн-сканеров. Но полагаться на один сканер не стоит, советуем собрать данные при помощи нескольких средств тестирования безопасности, проверить, насколько реальна угроза для сайта при его эксплуатации, исправить найденные проблемы.

Популярные онлайн-сканеры:

  1. Virusdie

  2. Scanurl

  3. Website Malware and Security Scanner

Прежде чем самостоятельно проводить тестирование вашего сайта, советуем хорошо изучить данный вопрос, или же привлечь к этому процессу специалистов.

Как обезопасить передачу данных

Безопасную передачу данных часто считают основной причиной взлома сайтов. В основном, данные в сети передаются путем использования стандартного протокола передачи данных – HTTP. Он уязвим, но это можно исправить при помощи перехода на протокол HTTPS. Он осуществляет передачу данных с шифрованием, что позволяет сохранить секретность информации при передаче от сервера пользователю и наоборот. Для того, чтобы сайт начал работать с этим протоколом, необходимо получить сертификаты безопасности сайта. Несмотря на то, что использование HTTPS не является обязательным, если у вас на сайте предусмотрено использование платёжных систем, применять его определённо стоит, и тому есть несколько причин:

  • Сами пользователи относятся к сайтам с HTTPS более лояльно.

  • HTTPS позволит сохранять конфиденциальность платёжных данных клиента.

  • Сайты с этим протоколом передачи данных лучше ранжируются при продвижении в поисковых системах.

Как получить сертификат безопасности сайта?

Для того, чтобы перевести ваш сайт на безопасный протокол HTTPS, следует получить его в центре сертификации. Существуют платные (с расширенной ответственностью сертификационного центра) и бесплатные SSL-сертификаты. После того, как вы получите протокол, его необходимо подключить к сайту и перенаправить все запросы на новый адрес сайта с HTTPS. Обычно, для этого используют прямой редирект с кодом 301. В некоторых случаях, это легко можно сделать через панель управления. Также не стоит забывать о том, что необходимо переписать все внутренние ссылки сайта, внести изменения в файл robots.txt, а затем настроить HTTPS Strict-Transport Security.

Как избежать взлома паролей?

Совершая кражу паролей, киберпреступники моментально получают доступ ко всей информации на сайте. Этим они открывают этим для себя широкие перспективы и используют информацию в своих целях, а именно: завладевают данными банковских карт или личными данными пользователе, либо же совершают рассылку спама пользователям.

Чтобы этого не допустить, необходимо:

  • Использовать только надежные пароли, которые сложно подобрать. Минимальное число символов для пароля – не менее восьми. В этом случае, даже программы для подбора паролей будут долго его подбирать.

  • Настроить защиту от подбора пароля в закрытую часть популярных CMS. 

  • Не передавать пароли от админпанели посторонним лицам. Если добавлять информацию на сайт могут несколько сотрудников, разграничьте их права и не предоставляйте больше прав, чем необходимо для работы.

  • Не сохраняйте пароли на FTP – их легко похитить. Лучше используйте специальные менеджеры паролей, которые будут шифровать сохраненные пароли.

Примеры таких сервисов:

  • Dashlane

  • 1Password

  • LastPass

Защита картинок от хотлинкинга

Давайте сначала разберемся, что такое хотлинкинг?
Хотлинкинг – это процесс встраивания и отображения на веб-странице любого объекта (картинки, видео, музыки, любого другого файла), который реально расположен на другом сервере. 

Способы защиты от хотлинкинга:

Существует несколько способов защиты от хотлинкинга в зависимости от того, какие задачи вы хотите решить. Но все способы сводятся к внесению изменений в конфигурационные файлы. 

  • Если ваш сайт работает на веб сервере Apache, то изменения нужно делать в файле .htaccess; 

  • Если ваш сайт на работает на веб сервере Nginx или используется связка Apache + Nginx, то изменения нужно производить в файле nginx.conf. 

  • Определить тип используемого веб сервера очень просто при использовании специального расширения для для браузеров Mozilla Firefox и Google Chrome – wappalyzer. После его установки в адресной строке браузера появляется дополнительный значок, при клике на который выводится информация о сайте, в том числе и об используемом веб сервере.

Защита от взлома CMS

Для того, чтобы защититься от взлома CMS, необходимо регулярно обновлять версию CMS, не устанавливать сомнительные плагины и модули, выпущенные аматорами, а также доверять защиту CMS своему хостинг-провайдеру. 

Проводя проверку безопасности вашего сайта, вы значительно уменьшаете риск потери денег, клиентов и репутации. В этой статье мы описали базовые способы, с помощью которых возможно обезопасить свой сайт, но помните, что использовать только один из них — непродуктивно. В тестировании и выявлении слабых мест необходим комплексный подход.


Заказывайте хостинг и выбирайте домен в компании «Хостинг Украина».

У нас качественный и надежный сервис, удобное система управления через админ-панель, интеллектуальные системы защиты и техническая поддержка, которая поможет решить все возникающие вопросы в любое время суток.

Любой тариф нашего хостинга подойдет для Wordpress. Вы можете выбрать именно тот пакет, который максимально соответствует потребностям вашего проекта: SSD хостинг, VPS на SSD, Cloud (облачный) хостинг, облачный VPS. Выделенный сервер или dedicated server. 

Мы разработали систему автоматического тестирование сайта, это даст Вам возможность проверить десятки показателей и настроек сайта и домена. Проверит правильность параметров конфигурационного файла WordPress, подключения к базе данных, настроек тем и модулей. Проверит правильность настройки параметра php_memory_limit.

Присоединяйтесь к «Хостинг Украина» и мы позаботимся о технической стороне вашего бизнеса.

Кликай и подписывайся!


Только зарегистрированные пользователи могут оставлять комментарии

212

209

264

Подпишитесь на рассылку

Будем присылать анонсы новых статей и полезные советы раз в неделю

Присоединяйтесь к нам в соцсетях