Для тих, хто не спить!
Знижка -15%
Ми використовуємо cookie-файли
Для оптимізації роботи нашого сайту ми використовуємо cookie-файли. Продовжуючи використовувати сайт, Ви погоджуєтеся з використанням cookie-файлів.
Новий дизайн
Панель керування
  • Русский
  • Українська
  • English
  • UAH
  • USD
  • RUB
  • EUR
  • 0-800-307-307 Гаряча лінія
  • +38 (044) 392-74-33 Київ
  • +38 (057) 728-39-00 Харків
  • +38 (056) 794-38-31 Дніпро
  • +38 (032) 229-58-93 Львів
  • +38 (048) 738-57-70 Одеса
  • +38(093) 170-15-42  Life
  • +38 (067) 400-88-44 Київстар
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7 (499) 348-28-61 Москва

Перевірка безпеки сайту: чек-лист

Цікавий факт, але з кожним роком число зламаних веб-сайтів росте. Ви, як власник сайту, можете навіть не замислюватися про те, що безпека вашого веб-ресурсу постійно знаходиться під загрозою. Сайт практично кожної компанії зберігає і обробляє персональні дані користувачів, конфіденційну інформацію, реалізує прийом онлайн-платежів.

Але навіть якщо крадіжка даних або порушення роботи сайту не є метою злому, то у кіберзлочинців існують також інші причини для цього – розсилки спаму або тимчасове використання веб-сервера для зберігання файлів (найчастіше, нелегального змісту).

Зломи виробляються спеціально записаними автоматизованими скриптами. вони “прочісують” інтернет в спробі зламати сайти, які мають відомі діри в програмному забезпеченні.

Трохи статистики:

  • За результатами даних дослідження Security Magazine, в середньому, атака в мережі відбувається кожні 39 секунд, а використовувані незахищені імена користувачів і паролі дають зловмисникам більше шансів на успіх.

  • За даними McAfe, хакери щодня створюють 300 000 нових шкідливих програм.

  • У той же час кількість захищених додатків зростає за рахунок використання сучасного захисту: в 2019 році їх кількість становить 26% від числа розробляються.

  • Відповідно до джерела Breach Level Index, кіберзлодії крадуть 75 записів щосекунди.

  • Щороку понад 15% користувачів стають жертвами шахраїв, які викрали їх персональні дані або дані банківських карт з комерційних сайтів.

  • 82% «лазівок» для зловмисників припадають на помилки в коді програми.

Веб-ресурси, які входять в зону ризику:

  1. Сайти фінансових установ.

  2. Урядові сайти.

  3. Сторінки мобільних операторів.

  4. Медіа, які мають високий ступінь впливу.

Навіть якщо ви власник малого бізнесу, загрозу недооцінювати не варто. Імовірність того, що саме ви станете мішенню кіберзлочинців, досить висока. Невеликі сайти використовуються шахраями як плацдармів для відпрацювання прийомів по злому, викрадення даних, для подальших розподілених атак на інші сайти.

Основні види вразливостей, якими користуються злочинці:

  • Використання відкритих протоколів передачі даних, без SSL.

  • Злом паролів.

  • Злом CMS.

  • Злом за допомогою плагінів і модулів CMS.

Даний перелік варіантів – не повний, з кожним роком кількість подібних проблем зростає.

Основні принципи безпеки сайту

Так на які чинники варто звернути увагу власникам сайту, які хочуть підвищити безпеку своєї сторінки? Ми склали список обов'язкових принципів, за допомогою яких ви зможете убезпечити ваш сайт:

  1. Обов'язкове планування заходів безпеки.

  2. Періодичне проведення аналізу захищеності сайту: з кожним днем кількість загроз зростає, злочинці вдосконалюють свої інструменти.

  3. Періодичне тестування безпеки веб-додатків: все з тієї ж причини.

  4. Виправлення вразливих місць в разі їх виявлення.

  5. Введення максимального розмежування прав для користувачів і адміністраторів сайту.

  6. Використання тільки надійних паролів.

  7. Використання тільки ліцензійного софту.

  8. регулярне оновлення CMS– обов'язково для захисту сайту.

  9. Якщо ви не впевнені в своїх силах – звертайтеся до фахівців для настройки безпеки.

Аудит безпеки сайту: які заходи вжити?

Ви можете оцінити рівень захищеності вашого сайту за допомогою онлайн-сканерів. Але покладатися на один сканер не варто, радимо зібрати дані за допомогою декількох засобів тестування безпеки, перевірити, наскільки реальною є загроза для сайту при його експлуатації, виправити знайдені проблеми.

Популярні онлайн-сканери:

  1. Virusdie

  2. Scanurl

  3. Website Malware and Security Scanner

Перш ніж самостійно проводити тестування вашого сайту, радимо добре вивчити дане питання, або ж залучити до цього процесу фахівців.

Як убезпечити передачу даних

Безпечну передачу даних часто вважають основною причиною злому сайтів. В основному, дані в мережі передаються шляхом використання стандартного протоколу передачі даних – HTTP. Він вразливий, але це можна виправити за допомогою переходу на протокол HTTPS. Він здійснює передачу даних з шифруванням, що дозволяє зберегти таємність інформації при передачі від сервера користувачеві і навпаки. Для того, щоб сайт почав працювати з цим протоколом, необхідно отримати сертифікати безпеки сайту. Незважаючи на те, що використання HTTPS не є обов'язковим, якщо у вас на сайті передбачено використання платіжних систем, застосовувати його безперечно варто, і тому є кілька причин:

  • Самі користувачі відносяться до сайтів з HTTPS більш лояльно.

  • HTTPS дозволить зберігати конфіденційність платіжних даних клієнта.

  • Сайти з цим протоколом передачі даних краще ранжуються при просуванні в пошукових системах.

Як отримати сертифікат безпеки сайту?

Для того, щоб перевести ваш сайт на безпечний протокол HTTPS , Слід отримати його в центрі сертифікації. Існують платні (з розширеною відповідальністю сертифікаційного центру) і безкоштовні SSL-сертифікати. Після того, як ви отримаєте протокол, його необхідно підключити до сайту і перенаправити всі запити на нову адресу сайту з HTTPS. Зазвичай, для цього використовують прямий редирект з кодом 301. В деяких випадках, це легко можна зробити через панель управління. Також не варто забувати про те, що необхідно переписати всі внутрішні посилання сайту, внести зміни в файл robots.txt, а потім налаштувати HTTPS Strict-Transport Security.

Як уникнути злому паролів?

Здійснюючи крадіжку паролів, кіберзлочинці моментально отримують доступ до всієї інформації на сайті. Цим вони відкривають цим для себе широкі перспективи і використовують інформацію в своїх цілях, а саме: заволодівають даними банківських карт або особистими даними користувача, або ж роблять розсилку спаму користувачам.

Щоб цього не допустити, необхідно:

  • Використовувати тільки надійні паролі, які складно підібрати. Мінімальна кількість символів для пароля – не менше восьми. В цьому випадку, навіть програми для підбору паролів будуть довго його підбирати.

  • Налаштувати захист від підбору пароля в закриту частину популярних CMS.

  • Чи не передавати паролі від адмінпанелі стороннім особам. Якщо додавати інформацію на сайт можуть кілька співробітників, розмежуйте їх права і не надавайте більше прав, ніж необхідно для роботи.

  • Чи не зберігайте паролі на FTP– їх легко викрасти. Краще використовуйте спеціальні менеджери паролів, які будуть шифрувати збережені паролі.

Приклади таких сервісів:

  • Dashlane

  • 1Password

  • LastPass

Захист картинок від хотлінкінга

Давайте спочатку розберемося, що таке хотлінкінг?
Хотлінкінг – це процес вбудовування та відображення на веб-сторінці будь-якого об'єкта (картинки, відео, музики, будь-якого іншого файлу), який реально розташований на іншому сервері.

Способи захисту від хотлінкінга:

Існує кілька способів захисту від хотлінкінга в залежності від того, які завдання ви хочете вирішити. Але всі способи зводяться до внесення змін в конфігураційні файли.

  • Якщо ваш сайт працює на веб сервері Apache, то зміни потрібно робити в файлі .htaccess;

  • Якщо ваш сайт на працює на веб сервері Nginx або використовується зв'язка Apache + Nginx, то зміни потрібно робити в файлі nginx.conf.

  • Тип свого веб сервера дуже просто при використанні спеціального розширення для для браузерів Mozilla Firefox і Google Chrome – wappalyzer. Після його установки в адресному рядку браузера з'являється додатковий значок, при кліці на який виводиться інформація про сайт, в тому числі і про використаний веб сервері.

Захист від злому CMS

Для того, щоб захиститися від злому CMS, необхідно регулярно оновлювати версію CMS, не встановлювати сумнівні плагіни та модулі, випущені аматорами, а також довіряти захист CMS своєму хостинг-провайдеру.

Проводячи перевірку безпеки вашого сайту, ви значно зменшуєте ризик втрати грошей, клієнтів і репутації. У цій статті ми описали базові способи, за допомогою яких можливо убезпечити свій сайт, але пам'ятайте, що використовувати тільки один з них - непродуктивно. У тестуванні і виявленні слабких місць необхідний комплексний підхід.


замовляйте хостинг івибирайте домен в компанії «Хостинг Україна».

У нас якісний і надійний сервіс, зручне система управління через адмін-панель, інтелектуальні системи захисту ітехнічна підтримка , Яка допоможе вирішити всі виникаючі питання в будь-який час доби.

Будь тариф нашого хостингу підійде для Wordpress. Ви можете вибрати саме той пакет, який максимально відповідає потребам вашого проекту: SSD хостинг, VPS на SSD, Cloud (хмарний) хостинг, хмарний VPS. Виділений сервер або dedicated server.

Ми розробили систему автоматичного тестування сайту, це дасть Вам можливість перевірити десятки показників і налаштувань сайту і домену. Перевірить правильність параметрів конфігураційного файлу WordPress, підключення до бази даних, налаштувань тим і модулів. Перевірить, чи правильно встановлена параметра php_memory_limit.

Приєднуйтесь до «Хостинг Україна» і ми подбаємо про технічну сторону вашого бізнесу.


Тільки зареєстровані користувачі можуть залишати коментарі

Підпишіться на розсилку

Будемо надсилати анонси нових статей і корисні поради раз в тиждень