1. Типи атак на веб-сайти
2. Навіщо хакери зламують сайти?
3. Підвищений рівень безпеки сайту за стандартами BUSINESS SITE
4. Рекомендації з безпеки для власників сайтів

Безпека сайту справедливо можна віднести до категорії безпеки бізнесу.

За 2016 рік тільки компанією Google було зафіксовано більше 800 000 зломів сайтів. Тенденція показує, що даний показник збільшується з ростом конкуренції в мережі.

Аналізуючи ретроспективу простежується тенденція: Природно, чим далі в минуле, тим менше показник зломів і компрометації сайтів, через те, що самих сайтів було менше. Але графік показує проблематику в цілому.

Мова йде не тільки про зломи сайтів великих корпорацій, банків або державних установ.

Об'єктом атак зловмисників (хакерів) може стати:

• невеликий інтернет магазин ;
• корпоративний сайт компанії середньої руки;
• landing page або персональний блог;
• будь-який сайт з невисоким рівнем безпеки.

Типи атак на веб-сайти

Атаки і їх результати можуть бути різними: DDos-атака. Принцип досить простий: на одну сторінку сайту провокую запуск великої кількості запитів до тих пір, поки сервер сайту не вичерпає ресурс, щоб їх обробляти. В результаті, кажучи простою мовою - «білий екран» замість Вашого сайту. Злом сайту. Це ситуація, коли зловмисники тим чи іншим способом отримують доступ до Вашого сайту. Наслідки можуть бути різними:

• Видалення сайту повністю або частково. Тут без коментарів.
• Розміщення на ресурсі шкідливого коду (вірусу). Це витончена форма шкоди Вашому сайту і бізнесу в цілому, так як Ваш сайт отримає репутацію такого, який поширює віруси, за що можуть послідувати дуже неприємні санкції від пошукових систем і інших авторитетних інтернет-організацій.
• Отримати доступ до конфіденційної інформації. Наприклад, до бази покупців Вашого інтернет-магазину, їхньою статистикою замовлень і так далі.
• Внести зміни в налаштування. Як варіант, закрити сайт від індексації пошуковими системами, тоді сайт може повністю зникнути з видачі Google, Яндекс та інших пошукових систем.

Навіщо хакери зламують сайти?

Насправді мотивація хакерів дуже зрозуміла:

1. Гроші. Ваш сайт можуть атакувати під замовлення, причому це не так дорого. Розцінки починаються з 30 доларів. Тобто може бути доступно Вашим конкурентам або заздрісникам.
2. Конкуренція в пошуку. Якщо Ви активно просуваєте сайт в пошукових системах або розміщуєте контекстну рекламу, так звані «чорні SEOшнікі», щоб «розчистити» собі місце в ТОП можуть здійснювати спроби атаки на Ваш сайт.
3. Тренування і підвищення навичок. Перш ніж здійснювати атаку на сайт сервера Пентагону починаючому хакеру необхідно тренуватися. Чому б це не зробити на якомусь простенькому сайті?

Висновок очевидний - безпека сайту вимагає особливої ​​уваги від власника бізнесу, інакше це може обернуться втратою грошей, часу, зривом бізнес-планів.

Найбільш схильні до зломів сайти розроблені на популярних платформах (CMS): Це пов'язано з тим, що ці системи доступні кожному для вивчення їх структури та логіки роботи.

Невже варто відмовитися від створення сайту на популярній платформі?

Звичайно, ні! Так як подальший розвиток сайту на популярній CMS значно дешевше, простіше і ефективніше, ніж на так званій «самопісний». В цій статті я зачіпаю дану тему. Команда веб-студи BUSINESS SITE спеціалізується на створенні сайтів на CMS WordPress - кращої платформі для корпоративних сайтів і landing page . Ми розробили ряд заходів, які значно підвищують рівень безпеки сайтів наших клієнтів.

Підвищений рівень безпеки сайту за стандартами BUSINESS SITE

Даний перелік почну із стандартних заходів безпеки. Налаштування ЧПУ (людино-зрозумілих URL) адрес сторінок вашого сайту. Що матися на увазі: - без настройки ЧПУ. Такий формат URL-адреси дозволяє звертатися до бази даних сайту через адресний рядок і за допомогою так званих SQL-ін'єкцій отримати логін і пароль від системи управління сайтом. - ЧПУ налаштовані. У цьому випадку можливість злому сайту через адресний рядок практично виключена. Також це обов'язковий захід для внутрішньої SEO оптимізації сайту . Видалення зайвих плагінів і тем. При установці CMS найчастіше встановлюються її безкоштовні компоненти (теми і плагіни), які не беруть участі в роботі сайту. Для того, щоб не залишати зловмисникам додаткові лазівки для злому, всі компоненти сайту, які не беруть участі в його роботі, необхідно видалити.

Це не якась інновація і унікальна напрацювання нашої команди. Це питання уважності, яким часто нехтують фрілансери і початківці розробники.

Те ж саме гойдається видалення файлів налаштувань, після того, як сайт вже змонтували на основному хостингу. Недосвідчені веб-розробники часто забувають це зробити, залишаючи серйозну уразливість веб-ресурсу. Тільки ліцензійні плагіни. Чи не рекомендуємо використовувати компоненти сайту з порушенням ліцензійної угоди, так як вони можуть створювати додаткові уразливості. Налаштування https-протоколу. Це протокол шифрування даних користувача, які він відправляє на сервер через різні форми. Більш докладно про перехід на HTTPS протокол читайте в цієї статті . HTTPS не дозволить перехопити Ваші дані, наприклад, коли Ви логін в адмін-панелі. Обмеження доступу до адмін-панелі по ip-адресою - додаткова міра безпеки, яку ми пропонуємо нашим клієнтам. Це виключає доступ в систему управління вашого сайту, навіть при наявності логіна і пароля, якщо ip-адреса, з якого відбувається авторизація, не дозволено у системі. Установка запиту Капча (captcha) при вході в адмін-панель. Цей захід дозволить уникнути несанкціонованого входу на Ваш веб-ресурс, якщо зловмисник зробить спробу підбору пароля до сайту тієї чи іншої автоматизованою системою. Нестандартний URL адмін-панелі Як писав вище, головна вразливість всіх популярних платформ полягає в тому, що їх конфігурація відома. Наприклад, не складно дізнатися, що для входу в адмін-панель сайту на Wordpress необхідно перейти www.адрес-сайта.com / wp-login.php Ми налаштовуємо нестандартний URL адмін-панелі - будь нейтральну назву, а при запиті до / wp- login.php видає помилку 404.

Жодна система не може бути безпечною на 100%.

Але, стандарти підвищеної безпеки сайту веб-студії «Бізнес сайт» значно ускладнять і здорожувати вартість атаки Вашого ресурсу, а також знизять ймовірність її успіху.

Щоб підсилити ефект заходів безпеки, обов'язково прочитайте останній абзац.

Рекомендації з безпеки для власників сайтів

1. Придумуйте складний пароль і непередбачуваний логін. Не використовуйте логін на зразок «admin», «administrator» та інше. Так як це дуже передбачувано для зловмисників. Використовуйте слово ніяк не пов'язане з Вашим сайтом і бізнесом. А для складання складного пароля скористайтеся генератором, наприклад, цим: http://www.onlinepasswordgenerator.ru/ Або вбудованим в браузер Chrome https://chrome.google.com/webstore/detail/passgen-%D0%B3%D0% B5% D0% BD% D0% B5% D1% 80% D0% B0% D1% 82% D0% BE% D1% 80% D0% BF% D0% B0% D1% 80% D0% BE% D0% BB % D0% B5% D0% B9 / npkionpjngbmclgahbloeghfempnaiba
2. Не давайте доступи 3-м особам. Тут без коментарів.
3. Не економте на хостингу і купуйте послуги хостингу тільки у відомих компаній з хорошою технічною підтримкою і стійким до DDos-атакам.
4. Робіть резервну копію сайту не рідше 1 разу на місяць. На той випадок, якщо Ваш сайт все-таки зламають і видалять, то Ви зможете легко його відновити.
5. Не рідше 2-х трьох разів на день заходите на свій сайт. Це особливо важливо якщо Ви ведете активні рекламні кампанії і займаєтеся SEO-просуванням. Бо якщо сайт буде недоступний через злому, а Ви не будете про це знати - це негативно позначиться на результатах рекламних кампаній.
6. замовляйте розробку сайтів в BUSINESS SITE!