Как защитить сайт от взлома: главные угрозы и способы борьбы с ними

В мире не существует систем, которые невозможно взломать. Но этот факт не означает, что вам нужно отказаться от собственного сайта или постоянно переживать, что его взломают. Главное для любого владельца — знать, как защитить сайт. Рассказываем о популярных угрозах и методах защиты сайта от них.

Лёгкий пароль

Хакеры угадывают лёгкие пароли простым перебором буквенных и цифровых сочетаний. Если хотя бы одна комбинация угадана — злоумышленник получает доступ к конфиденциальной информации: личные данные, банковские реквизиты и почтовые адреса.

Один из сервисов, где вы можете сгенерировать пароль

Как защитить:

• Придумывайте сложные пароли. Они должны содержать комбинации букв и цифр. Не просто Antonio, а A1nton540i8o.
• Придумывайте свои комбинации. Откажитесь от использования в пароле частых буквенных или цифровых сочетаний. Придумывайте свои комбинации и избегайте таких паролей: password, test, abcd, mama, а также цифровых последовательностей: 12345, 3333, 6789, 1212 и др.
• Не привязывайтесь к датам и личным данным. Не надо, чтобы пароли повторяли дату вашего рождения, фамилию или имя на латинице, возраст и т.д. Делайте их независимы от ваших личных данных, узнать которые для любого хакера — минутное дело.
• Используйте верхний и нижний регистры. Надёжней пароль BarseLoNa, а с паролем barselona веб-ресурс можно взломать достаточно быстро.
• Не включайте в пароль ваш логин или название сайта. Подобные сочетания мошенники разгадывают в первую очередь, настолько они очевидны.
• Для каждого сервиса — отдельный пароль. Если боитесь, что потеряете их — запишите информацию в обычный бумажный блокнот.
• Используйте спецсимволы. Это могут быть значки: @, *, %, & и другие. Добавляйте их в буквенно-цифровые сочетания.
• Сделайте дополнительную аутентификацию пользователя. Популярный способ — когда пользователь на первом этапе вводит логин и пароль, затем смс-код, который ему приходит на телефон. Можно сделать так, чтобы ссылка в админку менялась при помощи одного из плагинов, например, для CMS WordPress это — iThemes Security.
• Раз в месяц меняйте пароли. Это нужно делать на любом сайте, но особенно если у вас на аутсорсе работает программист, веб-мастер и другие специалисты, которым нужен доступ к отдельным разделам в админке.

Если не можете придумать пароль самостоятельно, воспользуйтесь онлайн-генератором. Среди известных: onlinepasswordgenerator.ru и passwordist.com.

Открытая пересылка пароля

Если вы храните или пересылаете пароль в открытом виде — взломать сайт становится так же просто, как если бы пароль был очевидным. Хакер может попытаться узнать у вас информацию через личный диалог и представиться сотрудником службы поддержки.

Как защитить:

• Не храните пароли в простых местах. Не используйте электронную почту или блокнот на рабочем столе — взломать могут почтовый адрес и само устройство.
• Используйте менеджеры паролей. Сервисы вроде keepass.info или lastpass.com помогут сохранить ваши пароли в защищённом месте, получить доступ к которому пользователи могут через двухфакторную идентификацию или с помощью одного мастер-пароля.
• Не сообщайте пароли посторонним людям. Сначала убедитесь, что с вами общается не мошенник. Попросите документы, поинтересуйтесь в организации, есть ли такой сотрудник.

Уволенный сотрудник, у которого остался доступ

Бывает так, что уволился сотрудник, у которого был доступ ко всем файлам и инструментам в админке: системный администратор, программист, разработчик. Возникает вопрос о том, как защитить сайт от взлома в таком случае.

Как защитить:

• Расставайтесь по-хорошему. Даже если был конфликт, постарайтесь решить его до увольнения: выплатите долги по зарплате, извинитесь, если были не правы.
• Ограничивайте доступы после увольнения. Заблокируйте учётную запись сотрудника и проверьте шлюз на новые правила для удалённых сотрудников. Доступ ко всем материалам админки для них должен быть закрыт.
• Меняйте пароли. Лучше не оттягивать это, а сделать в буквальном смысле сразу после того, как бывший сотрудник покинет офис. Особенно если вы расстались с ним в напряжённых отношениях.
• Воспользуйтесь услугами компании по кибербезопасности. Можно нанять специалистов, которые защитят ваш ресурс при смене админа и дадут гарантии на свои работы.

Трояны, вирусы, фишинг

Троян — это программа, которая проникает в устройство под видом безопасного программного обеспечения и парализует работу всех систем.

Вирус — это вредоносный код, который вплетается в файлы и коды веб-ресурсов, компьютерных программ и быстро распространяется по другим ресурсам с помощью различных каналов связи: через адреса электронной почты, единую сеть и т.д.

Фишинг — преступная деятельность группы лиц с целью получить личные данные пользователей веб-ресурса. Это массовые рассылки писем и сообщений якобы от имени известных брендов, платёжных систем, банков, соцсетей. В письмах есть название компании, а также ссылка на веб-страницу, которая внешне не отличается от настоящей. Пользователь переходит по ссылке в письме, вводит личную информацию, и хакеры получают доступ к банковским картам и документам.

Как защитить:

• Установите антивирусную программу. Современные программы отслеживают и блокируют подобные атаки автоматически, но рекомендуется также самостоятельно запускать сканирование всех устройств.
• Пользуйтесь надёжными источниками. Не загружайте файлы из сомнительных источников и не переходите по ссылкам из писем от неизвестных отправителей.
• Установите на сайте капчу. Так вы сможете отсеять ботов, которые будут пытаться зарегистрироваться на сайте.

Уязвимость CMS

CMS — это платформа, которая позволяет управлять содержимым сайта. Много уязвимостей, то есть слабых мест, через которые вирусу легко попасть на сайт, у платформ WordPress, Joomla и Drupal.

Как защитить. Это сделать не так сложно: нужно вовремя обновлять версию CMS. Обновления на платформах выходят регулярно, поэтому важно не пропускать их.

Уязвимость хостинга

Хостинг — это место, на котором размещены все файлы и страницы вашего веб-ресурса. Это удалённый компьютер, который работает круглосуточно и на котором «живёт» ваш веб-ресурс.

Обычно хостинги используют многоступенчатые системы защиты от взломов: автоматически  сгенерированные пароли, SSL-сертификаты, которые шифруют обмен данными между клиентом и сервером, антивирусные программы, резервное копирование и др. Но не всегда этого достаточно, поэтому владельцы сайта должны сами организовать защиту от уязвимости хостинга.

Как защитить:

• Вовремя обновляйте версию CMS, плагины и темы. В обновлениях разработчики закрывают уязвимости, а это повышает безопасность сайта.
• Устанавливайте официальные плагины. Они платные, но гарантированно безопасные. Во взломанные версии часто встроены вирусные вставки.
• Используйте безопасные соединения. При работе с файлами используйте безопасные соединения SFTP и SCP, а не FTP. Они обеспечивают безопасный канал связи между сервером и клиентом, так как шифруют данные.

Взломанные скрипты и ненадёжные модули на сайте

Скрипт — это алгоритм, который пишут, чтобы сайт работал нормально. Модуль — это блок информации на сайте, который представлен в виде кнопки, иконки. Он нужен, чтобы сделать площадку удобной для пользователя.

И скрипты, и модули — уязвимые места на сайте, которые хакеры могут взломать и внедрить на сайт собственные вредоносные коды. При этом вы даже не заметите, как и когда это произошло, а увидите последствия такой атаки. Вы можете установить сторонний рекламный модуль, не подозревая, что он вредоносный. Другой вариант — на ваш портал попадёт вирусный скрипт.

Как защитить:

• Используйте антивирусные программы. Они будут блокировать потенциально опасные программы и не давать им попасть на сайт.
• Отслеживайте входящие данные. Используйте фильтр WAF — web application firewall, который не пропускает на сайт сомнительный трафик, блокирует вирусные коды.
• Ограничьте в правах пользователей. Это актуально, если доступ есть у большого количества сотрудников. Открывайте доступ только в тех разделах, которые необходимы для работы.
• Откажитесь от использования уязвимых модулей. Не устанавливайте рекламные модули сомнительного содержания, даже если кажется, что это очень прибыльно.
• Используйте плагины защиты. Устанавливайте плагины с официальных источников. Для WordPress подойдут WordFence, Sucuri Security.

Устаревшее ПО

Вы можете привыкнуть к старой версии ПО, и обновления будут даваться вам тяжело. Но это не повод отказываться от них, так как это напрямую влияет на безопасность. Хакеры постоянно придумывают новые методы взлома, а в обновления разработчики включают способы защиты от них. Если вы не обновляете ПО, в нём появляется много уязвимых мест, через которые проникает вирус.

Как защитить. Не пропускайте обновлений браузера, операционной системы, CMS сайта, плагинов и тем.

Перехват сетевого трафика

Маршрутизатор, или роутер — сетевое устройство, которое обеспечивает технологию wi-fi. От того, какие маршрутизатор и wi-fi вы используете, зависит не только качество интернет-соединения, но и безопасность ваших устройств и сайта.

Мошенники могут атаковать веб-ресурс по небезопасной сети с помощью чат-ботов, которые в огромном количестве приходят на сайт. Из-за этого на сайт, а потом и на устройство могут попасть вирусы. Поэтому важно отслеживать сетевой трафик и вовремя блокировать нежелательных посетителей.

Как защитить:

• Не подключайтесь к бесплатному wi-fi в общественных местах. Они максимально опасны, вирус может проникнуть, когда вы скачиваете файлы, оплачиваете товары онлайн.
• Меняйте заводские пароли на роутере. Лучше сделать это сразу же после установки и подключения оборудования.
• Используйте защищённые подключения. Это поможет вам отсеивать нежелательный трафик в виде ботов. Установите протокол HTTPS вместо HTTP. Вы защитите сайт, его работу не будут тормозить нежелательные вирусы. Кроме того, сайты с защищёнными протоколами лучше ранжируются.

Внедрение стороннего кода

Вредоносный код попадает через уязвимости — недостаточную защиту от атак, слабый пароль, рекламные ссылки, ошибки в файлах, взломанные плагины и т.д. Когда код внедряется, вы можете заметить, что поменялись названия файлов, в статьях появились ссылки на ресурсы сомнительного содержания, а пользователям отправляются письма, больше похожие на спам.

Как защитить:

• Используйте антивирусные программы. Они будут блокировать вирусные коды и не пропустят их на ваш ресурс.
• Шифруйте передачу данных. Для этого используйте безопасный протокол HTTPS.
• Установите двухфакторную идентификацию. Например, пользователь при регистрации указывает личные данные и вводит код из смс или капчу.

Главное по угрозам для сайта

Угроз много, чтобы разобраться в каждой из них, необходимо систематизировать информацию. Для этого все ключевые моменты мы указали в таблице.

Угроза	Суть угрозы	Чем опасна
Лёгкий пароль	Хакеры могут угадать пароль и получить доступ к ресурсу	Блокировка площадки  Кража личных данных  Рассылка спама
Открытая пересылка пароля	Хакеры узнают пароль и попадут в админку, даже без взлома	Блокировка сайта Кража данных Внедрение на сайт сторонних ссылок Рассылка спама
Уволенный сотрудник, у которого остался доступ	Уволенный сотрудник может использовать конфиденциальную информацию в корыстных целях или продать её третьим лицам	Кража данных и денег пользователей Изменение и удаление файлов, плагинов
Трояны, вирусы, фишинг	Эти элементы проникают на сайт или на устройство и заразить все устройства компании по сети.	Блокировка сайта и устройств компании Кража данных и банковских реквизитов Создание сайтов-клонов
Уязвимость CMS	У платформ есть уязвимости, через которые могут проникать вирусные коды	Отправка спама  Кража данных, платёжных реквизитов Заполнение ресурса сомнительными ссылками
Уязвимость хостинга	Хостинг могут атаковать хакеры, через уязвимые места парализовать его работу и негативно повлиять на работу сайта	Перебои в работе На веб-ресурс могут попасть вирусы и блокировать его работу
Взломанные скрипты и ненадёжные модули на сайте	Вы можете допустить ошибку в скрипте, и тогда он будет уязвим для вирусов. Ещё вариант – вы можете установить вирусный рекламный модуль.	Блокировка сайта Рассылка спама Кража пользовательских данных Изменение и удаление файлов. плагинов, паролей
Устаревшее ПО	Если не обновлять ПО, устройство становится уязвимым для новых вирусов	Плохая работа сайта Внедрение вирусов на сайт и ПО Кража личных данных Блокировка устройств
Перехват сетевого трафика	Если сеть или подключение небезопасны, на сайт проникнут боты и вирусы	Спам в комментариях на сайте Помехи в работе, блокировка сайта
Внедрение стороннего кода	Вирусный код может попадать на сайт через уязвимости и мешать его работе	Кража данных Перенаправление пользователей на сторонние ресурсы Перебои в работе сайта

Подведём итог

Хакеры постоянно придумывают новые способы взлома, но это не значит, что нужно отказаться от идеи работы в сети. Важно использовать надёжные методы защиты сайтов.

Необходимо регулярно обновлять ПО, использовать сложные пароли и менять их ежемесячно. Важно блокировать учётную запись уволенного сотрудника, защищать сайт от нападок вирусов со стороны хостинга. Если всё делать грамотно и вовремя, взломов с большой долей вероятности удастся избежать.