Продолжаем масштабный разбор необходимых мер для защиты сайта. Напомню те пункты, на которые для удобства мы разделили эту обширную статью:

Тема 1: Вводная часть. Безопасность при выборе регистратора доменов и хостера.
Тема 2: Безопасность движка сайта и общие рекомендации по информационной безопасности при работе с сайтами.
Тема 3: Что делать, если сайт все же взломали?

В предыдущей статье мы рассмотрели наиболее важные моменты при выборе регистратора домена и хостера, а также способы защиты доменного имени и хостинга, доступные каждому пользователю.

Сегодня же перейдем к одной из самых важных тем – безопасности движка сайта и других вспомогательных файлов. В завершение этого поста будут представлены общие рекомендации, которых следует придерживаться при работе с сайтами регулярно, чтобы не стать жертвой взлома.

Защита сайта без движка

Случаи существования сайтов без использования CMS не так редки, как некотоыре думают. Часто такой подход даже более предпочтителен, чем использование систем управления содержимым (к примеру, для создания одностраничников). Для нас же особо важно то, что защитить сайт без движка несколько легче, чем с движком.

Почему? Прежде всего из-за того, что злоумышленник никак не сможет получить доступ к админке сайта по той причине, что ее просто-напросто нет. А значит, одну из потенциальных угроз взлома можно исключить, что значительно повысит безопасность ресурса. 
При работе с сайтами без CMS особое внимание уделите двум вещам – безопасности файлов на сервере и используемым скриптам.

Хостинг – это единственный путь изменить существующие файлы ресурса, поэтому он и нуждается в тщательной защите. Впрочем, ничего сверхъестественного придумывать не надо – рекомендаций из предыдущего поста будет более чем достаточно.

Код, на основе которого вы создаете сайт – угроза номер два. Некоторые выполняемые скрипты могут нести двойную функцию – к примеру, создавать возможность для загрузки эксплойтов на сервер, выводить блоки ссылок на сторонние сайты и т.д. Поэтому перед установкой любого скрипта убедитесь в его безопасности, особенно если пользуетесь услугами непроверенного разработчика или берете код из паблика.

Этих несложных мер будет более чем достаточно для защиты сайтов без движка.

Защита сайтов, использующих CMS

Безопасности сайтов, сделанных с помощью движка, следует уделять самое пристальное внимание. На то есть несколько причин. Во-первых, система управления содержимым – самая уязвимая часть сайта. Если хостер и доменный регистратор чаще всего самостоятельно неплохо заботятся о безопасности клиентов, то в случае с движком ситуация иная – за его защиту целиком и полностью отвечать вам самим. Во-вторых, из-за этого уязвимости CMS очень часто используются для более сложных целей – взлом самого хостинга или базы данных, например.

Скажу еще пару слов о т.н. рейтингах уязвимости движков, на которые очень часто любят ссылаться при обсуждении преимуществ той или иной CMS. Дело в том, что абсолютно все системы управления имеют уязвимости, вопрос лишь в том, известно о них или еще нет. Поэтому для составления таких рейтингов и графиков используют информацию об общем количестве найденных (и, скорее всего, уже устраненных) «дырах». Отсюда следует закономерный вывод – чем популярней CMS, тем активнее хакеры и программисты ищут в ней уязвимости, и следовательно больше их находят. Обычно же найденные «дыры» устраняются в обновлениях, через 1-2 дня после обнаружения (иногда даже в течение пары часов). 

Поэтому «правило номер один» для защиты своего движка – регулярное обновление его до актуальной версии. Уже это станет серьезной преградой для кулцхакеров, начитавшихся соответствующих форумов, а более опытным людям намного усложнит работу по взлому.

Другой важный момент, оказывающий существенное влияние на безопасность сайта – используемые модули, плагины и скрипты. Т.к. они состоят из того же кода, что и движок, то со временем в них также могут быть обнаружены уязвимости. Правило остается тем же – постоянно и своевременно обновлять применяемые компоненты до последней версии.

Не стоит забывать и о том, что «дыра» в плагин может быть добавлена специально, с целью дальнейшего взлома сайтов, которые начнут использовать этот модуль. Поэтому всегда скачивайте расширения для сайта только с официального ресурса либо заказывайте их разработку у квалифицированных программистов. Скачав с «левого» сайта даже вроде как надежный и популярный модуль, нельзя застраховать себя от его уязвимостей – злоумышленник мог изменить изначальный код плагина.

Немного о расширениях для дополнительной защиты. Применяйте их только тогда, когда полностью уверены в разработчике и функционале и полностью понимаете, что они делают и каким образом. Не надо забывать, что каждый установленный плагин – это еще одна возможность потенциального взлома, и от возникновения уязвимостей не застрахованы даже защитные модули.

Автор этих строк лично сталкивался с ситуацией, когда сайт на WordPress был взломан именно из-за дыры в расширении для защиты. Поэтому, как ни странно, сайт, перегруженный защитными модулями, более уязвим, чем ресурс, использующий один такой плагин или не использующий их вовсе.

И, конечно же, нельзя обойти такой вопрос, как использование нелицензионных копий CMS. Оставив в стороне этические и правовые нормы, подобный подход нежелателен и с точки зрения безопасности. Во-первых, в очень многих ломаных движках уже содержатся встроенные злоумышленниками уязвимости либо скрытые ссылки. Во-вторых, могут возникнуть проблемы с обновлением системы управления содержимым, что также создаст дополнительные дыры. Поэтому стоит трижды подумать, прежде чем воспользоваться нелицензионным движком.

Несколько отдельно стоят самописные CMS. При работе с ними помните – такой движок используется только вами, а значит, у вас не будет поддержки хорошего комьюнити, которое, кроме всего прочего, заниматься поиском и устранением уязвимостей. Эти обязанности лягут на ваших программистов, что увеличит расходы на содержание сайта. Но в уникальности движка есть и свои плюсы – хакеры скорее всего не будут знать об имеющихся в нем дырах, что затруднит процесс взлома. В остальном меры предосторожности остаются теми же.

И еще пара важных моментов:

1. Используйте надежный логин-пароль администратора.
2. По возможности измените стандартный url для входа в админку.
3. Ограничьте диапазон IP-адресов, с которых возможна авторизация на сайте.
4. При появлении любых попыток взлома в логах обратитесь в тех. поддержку хостинга.

Общие рекомендации при работе с сайтами

Кроме вышеперечисленных способов защиты домена, хостинга и движка, есть ряд моментов, на которые необходимо обратить внимание при работе с любым элементом ресурса.

1. Не используйте для входа в панели управления компьютер, который может быть заражен вирусом. Большая часть взломов – это не конкретные атаки на сайт, а использование сведений, собранных с компьютера трояном, в том числе данных о введенных логинах и паролях.

2. Никогда не сохраняйте пароли в браузере! Вирусной программе ничего не стоит извлечь их оттуда.

3. Не входите в админ-панели сайта с чужого компьютера. Даже если вы после завершения работы покинете все свои аккаунты, введенные вами данные могут сохранится в cookie.

4. Храните все свои пароли в текстовом файле на отельной флешке, не использующейся для других целей. Назовите сам файл нейтральным именем (например, «учеба»), загрузите на флешку «мусор» (документы, схемы, фотографии), в котором непосвященному человеку будет сложно найти нужный файл. Не используйте шифрование – так вы укажете злоумышленнику тот документ, который нужно взломать в первую очередь.

5. Не давайте полномочия администратора человеку, в котором не уверены на 100%.

6. Оберегайте данные аутентификации для электронного ящика, на который зарегистрирован домен, хостинг и движок, не хуже, чем сайтовые идентификаторы пользователя.

7. Не пренебрегайте ни одним аспектом безопасности. Отсутствие комплексной защиты сайта приведет лишь к тому, что рано или поздно он все же будет взломан.

8. Не переходите по подозрительным внешним ссылкам в письмах и не отсылайте свой логин-пароль тертьим лицам, даже если они представляются администраторами хостинга или регистраторами доменов. 
9. Удаляйте из электронного ящика письма и оповещения, которые приходят от вашего хостера, регитсартора или сайта - с их помощью злоумышленник может узнать, что к ним можно получить доступ. Также не стоит хранить письма с регистрационными данными для входа, надежнее скопировать эту информацию в отельный файл на компьютере. 

Следование этим несложным правилам существенно повысит безопасность вашего ресурса и убережет от банальных методов взлома.
Вопросы, как всегда, можете задать в комментариях.