За примерами далеко ходить не надо. Сентябрьская новость - хакерам удалось получить доступ к незашифрованному резервному хранилищу ключей BitCoin, системы обмена валют, и похитить 250 тыс. долларов. Как видно, основная вина ложиться именно на сам ресурс – если бы были приняты элементарные меры безопасности (шифрование данных), кражи могло бы и не быть.
К счастью, чтобы максимально обезопасить свой сайт от взлома, есть несколько правил, которые будут полезны как владельцам крупных ресурсов, так и небольших личных проектов.
1. Надежно храните свои логины и пароли. В первую очередь – от хостинга. Получив доступ к размещенным на сайте файлам и панели управления ими, злоумышленник может делать практически что угодно – менять содержимое страниц ресурса, начать распространять вирусы, сделать переадресацию на вредоносный сайт и т.д. И восстановить доступ к взломанному хостингу бывает достаточно проблематично. Чаще всего для этого необходим личный визит к хостеру. И хорошо, если он располагается в России или Украине. А если в Германии или США?
То же касается и данных для входа в админ-панель сайта. Доступ к ним точно также позволит хакеру управлять всем сайтом и размещенными на нем файлами.
Все вводимые пароли ни в коем случае не стоит сохранять в браузере. Также не стоит хранить их в отельном текстовом файле на самом компьютере. Наилучшим решением будет сохранять все идентификаторы в файле на отдельной флешке. И, конечно же, пароли не должны быть вида qwerty, лучше всего использовать для создания ключей онлайн-генераторы, создающие пароли не короче 10 символов.
2. Не устанавливайте на сайт скрипты или коды, назначение которых непонятно. Очень часто под видом таких полезных программ для расширения функционала сайта на самом деле распространяют вредоносные коды, через которые можно получить доступ к ресурсу. Если предлагаемый скрипт вызывает подозрения, то перед его установкой лучше всего проконсультироваться с опытным программистом.
3. Маскировка адреса доступа к админ-панели сайта. Большинство стандартных CMS имеют шаблонные адреса ввода логина и пароля для управления содержимым. К примеру, войти в админку движка Wordpress почти всегда можно, набрав в браузере адрес-сайта/wp-admin.php. Однако практически всегда есть возможность изменить стандартную форму входа на сайт, заменив ее на менее очевидный адрес.
4. Использование лицензионных программ. Конечно, искушение воспользоваться бесплатно полнофункциональной версией платной версией очень велико. Но при этом необходимо понимать две вещи. Во-первых, очень часто распространяемые в сети «ломаные» движки стараниями хакеров уже имеют встроенные скрипты, которые упрощают взлом. А во-вторых, даже если скачанная CMS «чистая», она чаще всего будет устаревшей версии, взломать которую намного проще – все ее уязвимости давно уже известны хакерам.
И, конечно же, отсутствие тех. поддержки у нелицензионных версий также усложняет управление ею.
5. Мониторинг активности пользователей на хостинге или в админ-панели. Если вы администратор ресурса, то обычно должны быть в курсе, какие еще пользователи или другие модераторы должны иметь доступ к панели управления движка или хостинга. Поэтому попытки входа в админку и тем более зарегистрированные входы с незнакомых IP-адресов чаще всего сигнализируют о взломе сайта. Чаще всего активировать мониторинг активности можно либо средствами самой CMS, либо установив дополнительные плагины или программы.
6. Использование антивируса. Существуют специальные антивирусы, разработанные для установки на хостинг. Такие программы позволяют оперативно выявлять проникновение посторонних файлов на сайт, определять их вредоносность и оперативно удалять.
Кроме того, необходимо использовать надежный антивирус и на рабочем компьютере, а при подозрении на вирусы лучше вообще не посещать админ-панель сайта и хостинга до полного «выздоровления».
7. Шифрование данных на сайте. Этот метод необходим, если на ресурсе хранятся данные, которые не должны быть доступны широкой аудитории. Угроза взлома всегда есть, а для сайтов с конфиденциальной информацией она еще выше. Шифрование затруднит извлечение хакерами ценной информации из украденных сведений и даст вам время принять необходимые меры, чтобы устранить последствия взлома.
Но необходимо понимать – даже использование всех вышеперечисленных средств не даст 100%-ной гарантии защиты от взлома. Но и становиться параноиком из-за этого тоже не следует – вероятность хакерской атаки прямо пропорциональна ценности хранимой на сервере информации. Если вы владелец личного блога, то эти семь способов практически полностью помогут забыть об интернет-злоумышленниках.
Роман Идов, аналитик компании SearchInform, эксперт по информационной безопасности:
Главное условие обеспечения безопасности вашего сайта – это забота о его безопасности. Своевременно обновляйте программное обеспечение (CMS), устанавливайте плагины и дополнения только из проверенных источников, не храните пароли в FTP-клиентах (например, популярный Total Commander никак не защищает сохраняемые в нём пароли). Конечно, не всегда есть возможность хранить пароли на отдельном носителе – постарайтесь хотя бы не называть файл с ними passwords.txt и не помещайте его на рабочий стол. Ну и конечно, в идеале, работайте с сайтом только через защищенные соединения, если это поддерживает ваш хостинг-провайдер.