Мы на Facebook

Мы ВКонтакте

Мы на Одноклассниках

Мы в Twitter

Интернет давно и навсегда стал частью нашей жизни. Поэтому вполне логично, что если Интернет стал частью общества, то и общество постепенно перемещается в глобальную сеть со всеми своими отрицательными сторонами. Преступность чувствует себя в сети не хуже чем в «реальной» жизни и киберпреступления совершенствуются быстрее, чем социальные сети и Интернет-магазины. Посмотрите на рисунок, показывающий процент компьютеров и серверов, зараженных различными вирусами и ботнетами.

В этой статье мы дадим рекомендации по защите от взлома сайтов, которые стали обычным явлением в Интернет.

Как защитить сайт от взлома паролей

Подбор и взлом паролей доступа к сайту остается самым популярным и действенным способом хакерской атаки. Несмотря на многолетние предупреждения специалистов по компьютерной безопасности люди продолжают использовать пароли вида «admin» и т.п. Результат такого пренебрежения к паролям следующий:

Поэтому наши рекомендации всем известны, но лишний раз повторить не мешает:

1. Меняйте все пароли доступа к сайту. Обычно меняются только пароли доступа к админпанели сайта, а пароли к FTP и базе данных остаются без изменения. А они генерируются хостингом и обычно не представляют проблемы для взлома. Техподдержка потом обоснованно тыкает носом в пароли и правильно делает.

2. Придумайте действительно сложный пароль. Не стоит пользоваться сервисами генерации, нет никакой гарантии, что они не будут потом взламывать сайты используя эту информацию. Если более надежный способ как защитить сайт от взлома паролей. Откройте Word, переключитесь на английскую раскладку и наберите русскими словами случайное слово, например «мневсеравно» или «фигувамвсем» и вы увидите действительно сложный пароль. И не забудьте сохранить пароль в недоступном месте.

3. Храните пароль в безопасном месте. Как ни смешно, самым надежным местом хранения паролей остается лист бумаги в личном блокноте. Вы думаете, в этом случае все узнают пароль? Если вы не будете приклеивать его стикером к монитору, то не о чем беспокоиться, а вот если из-за вируса придется переустановить систему с потерей файла с паролями, действительно будут проблемы.

4. Регулярно меняйте пароли. Минимум раз в три месяца. Внесите это в свой календарь, и вы избавите себя от множества проблем с сайтом

Защита от спама

Количество спама, несмотря на все усилия по его ликвидации, постоянно увеличивается. В этом нет ничего необычного – по телевизору нас зомбируют рекламой, в Интернете спамом. Поэтому под спам можно попасть в любой момент и как защитить сайт от взлома спам-программами должны знать все администраторы. Сделайте следующее:

1. Не нужно в качестве обратной связи указывать свой рабочий E-mail. Сделайте для сайта отдельный адрес электронной почты, в крайнем случае, весь входящий и исходящий спам будет проходить через него и блокировка не затронет рабочий E-mail.

2. Установите антивирус на сайт. Все нормальные хостеры по умолчанию предоставляют такую услугу или ее можно заказать дополнительно. Если антивирусная защита сайта от спама отсутствует, смените хостинг.

3. Контролируйте входящие данные на сайт. Подробно эта проблема рассматривается в разделе безопасности баз данных, но она присутствует и на сайтах без БД или как их еще называют статических сайтах. На них все равно есть такие интерактивные элементы, как обратная связь, комментарии, чаты и т.д. Такие элементы могут использоваться для взлома и загрузки спам-программ.

4. Если на сайте есть вредоносный код, поисковые системы могут указать вам на этот факт. Goolge и Янлекс, показывают потенциально опасный код и спам-ссылки. Реагируйте на эти сообщения иначе вылетите из поиска.

В сети Интернет достаточно различных рейтингов эффективности различных антивирусов. На рисунке рейтинг антивирусов от международного софт-портала Softonic. Ориентируйтесь на него при выборе хостинга для вашего сайта.

Защита от взлома базы данных

Большинство сайтов разрабатываются на основе какой-либо системы управления сайтом (CMS), а значит, имеют базу данных, и возможно не одну. Чаще всего это SQL базы данных, такие как MySQL или PostgreSQL, которые подвержены взлому с помощью SQL-инъекций. Они представляют собой специальный SQL-запрос с помощью которого злоумышленник может получить доступ к базе данных, или сделать выборку данных.

Рекомендации как защитить сайт от взлома баз данных следующие:

1. Всегда проверяйте данные форм ввода, комментарии, входящие E-mail и прочие данные, поступающие на сайт. Кроме полезной информации там может содержаться и вредный код SQL. Не проверять входящие данные одна из самых распространенных ошибок начинающих разработчиков. Ограничивайте длину полей ввода, проверяйте их соответствие требуемому типу (например, день рождения должен быть только числом), анализируйте данные на наличие запрещенных символов используя специальные функции, такие как Htmlspecialchars() в PHP. Этим вы избавитесь от множества проблем с данными и предотвратите взлом базы данных.

2. Если непосредственно с базой данных работают несколько пользователей, ограничьте их права доступа. Правами на запись или коррекцию структуры должны иметь только администраторы. Не забывайте, что потери организаций от действий собственных сотрудников в десятки раз больше чем от хакерских атак.

3. Одним из самых эффективных способов взлома баз данных является анализ ее структуры с помощью подбора возможных наименований таблиц и столбцов. Наименования в базах данных не отличаются разнообразием и почти в каждой можно найти таблицы или поля с именем «users», «country» или «id_name». Используя эту информацию злоумышленник может попытаться создать запрос для доступа и выборки информации. Поэтому рекомендуется не использовать такие имена таблиц и полей данных. Но этот метод имеет и обратную сторону – теряется информативность базы данных и разработчикам будет достаточно сложно работать с таблицами типа «id1975_fugers».

4. Регулярно меняйте пароль администратора базы данных и сделайте логин администратора уникальным т.к. множество баз данных было взломано по стандартному логину «admin». Также отключите анонимный доступ к базе данных, который включен по умолчанию на некоторых хостингах, особенно бесплатных.

Зашита от DDOS-атак

DDOS - атака это быстрый и эффективный способ блокировать работу любого сайта. На сайт генерируется огромное количество запросов, которое просто занимает всю пропускную способность провайдера и он вынужден отключить сайт. В 2014 году DDOS был даже на таких крупных сайтах как rutracer.org и habrahabr.ru. Для DDOS-атак обычно используются сеть персональных компьютеров или ботнеты, на которых установлено вредоносное программное обеспечение. Причем пользователь компьютера не догадывается о том, что он участвует в подобном мероприятии.

Как защитить сайт от взлома по DDOS точно знает только хостинг-провайдер т.е. реагировать на такие действия можно только после начала атаки. Хостинг должен по требованию клиента блокировать IP-адреса, с которых идет поток запросов или направлять их на «пустой» адрес или специальный сервер. Иначе меняйте хостинг.

Как защитить сайт от взлома при использовании CMS

Если сайт создан с использованием системы управления сайтом (CMS), такими как Joomla или Wordpress, то нужно предпринять дополнительные меры по закрытию сайта от взлома:

1. Тщательно выбирайте шаблон для сайта. Почти всегда устанавливается бесплатный шаблон из Интернет без проверки на безопасность. По результатам тестирования более 80% бесплатных шаблонов для популярных CMS имеют встроенный код рассылки спама или модули ботнетов. Будьте внимательны и проверьте шаблон, для этого есть достаточно онлайн-сервисов проверки. Или купите шаблон от известной компании, это стоит недорого.

2. Уникальный пароль для доступа к админчасти сайта. Выше уже были рекомендации по паролям, они применимы и к CMS.

3. Установите модули спам-фильтров. Для каждой CMS есть свои модули и плагины, закрывающие от спама комментарии, формы обратной связи и статьи блока.

Спасибо за внимание! Источник: Webmaster.ukatalog.ru

comments powered by HyperComments