В статье дали практические рекомендации по настройке защиты сайта, начиная с использования плагинов безопасности и заканчивая регулярными проверками на уязвимости.
По какой причине взламывают сайты
В 2023 году количество кибератак продолжило расти и в мире, и в России. Глобально уровень повысился на 37 % (SourceSecurity), что затронуло как компании, так и обычных пользователей. Атаки на устройства с подключением к Интернету (IoT), то есть на смарт-камеры, термостаты, бытовую технику и даже медицинские приборы, достигли 77,9 миллиона в первой половине 2023 года, что связано с ростом их использования и недостаточной защищённостью (Kaspersky).
В 2023 году в России было обнаружено более 29 тысяч фишинговых (мошеннических) доменов. Также зафиксирован пятикратный рост компрометации (нарушения конфиденциальности, целостности) учётных записей крупных российских банков с использованием стилеров — программ, крадущих информацию с устройств (ICT Moscow).
Все эти факты говорят о росте интереса злоумышленников к кражам персональных данных как в России, так и по всему миру.
Взлом сайтов стал настоящей проблемой для владельцев бизнеса, разработчиков и всех, кто ведёт свою деятельность в сети. Но для чего это делается? Вариантов множество: кража персональных сведений, финансовая выгода, использование серверных ресурсов для нелегальной деятельности или даже желание взломщиков проверить свои навыки.
Виды взлома, наносящие тяжёлый вред функциональности веб-ресурса
SQL-инъекции. Этот вид вторжения позволяет хакеру внедрить свой код в запросы к системе хранения информации, что может привести к утечке конфиденциальных сведений. Обычно такие виды уязвимости встречаются в плохо защищённых формах ввода информации. SQL-инъекции применяются для получения несанкционированного доступа к базам данных. Основная цель — это кража или изменение конфиденциальных сведений, паролей, номеров кредитных карт. Кроме того, с помощью SQL-инъекций можно получить доступ к административным учётным записям, полностью контролировать ресурс и вносить любые изменения в его содержание, вторгаясь в установочные алгоритмы. Очень болезненный вариант, который позволяет добраться ко многим системам компании.
DDoS-атаки. Их цель — перегрузить сервер запросами, сделав сайт недоступным для посетителей. Это наиболее распространённый метод, когда злоумышленники хотят вывести интернет-страницы из строя без прямого взлома.
У хостера AdminVPS все тарифы хостинга предоставляют клиентам защиту веб-ресурсов от DDoS-атак.
Кроме того, хостинг от AdminVPS — это:
- домен в подарок,
- только быстрые NVMe диски,
- быстрая техподдержка 24/7,
- доступная цена.
Брутфорс. Это метод подбора паролей к различным учётным записям. Особенно уязвимы профили с простыми вариантами вроде «123456» или «qwerty». Если злоумышленнику удаётся взломать административный доступ, он получает полный контроль над ресурсом.
XSS (межсайтовый скриптинг). Атака происходит через внедрение опасных программ в страницы сайта, что позволяет изменять его содержание или получать доступ к сессиям посетителей.
Уязвимости модулей и CMS. Проекты, работающие на популярных системах управления, таких как WordPress, могут стать жертвой через не обновлённые или уязвимые модули. Эти уязвимости позволяют злоумышленникам проникнуть через дыры в системе безопасности. Взломщики получают контроль над ресурсом, крадут личную информацию посетителей, размещают поддельные страницы для фишинга.
Читайте в блоге, как сделать интернет-магазин на WordPress с плагином WooCommerce.
В ваших силах защитить свой сетевой проект от перечисленных угроз, действуя самостоятельно или с помощью профессионалов.
Методы защиты
От SQL-инъекции
Что сделать самому. Если вы используете популярные CMS, такие как WordPress, установите дополнительные модули безопасности (плагины), которые уже включают защиту от SQL-инъекций (Wordfence).
Инструкция по защитите CMS WordPress от SQL-инъекций
Приводим пример пошаговой инструкции активации автоматической настройки защиты в WordPress.
Установка инструмента безопасности:
- в консоли управления WordPress (yourwebsite.com/wp-admin) на боковой панели выберите «Плагины» и затем «Добавить новый»;
- в строке поиска введите название инструмента безопасности, например, Wordfence Security и нажмите кнопку «Установить» → «Активировать».
Настройка безопасности:
- После активации инструмента на боковой панели появится новый раздел Wordfence. Нажмите на него.
- Выберите «Сканирование» на наличие уязвимостей.
- Далее ― опция «Брандмауэр» для работы с параметрами защиты.
- Включите уведомления об угрозах, чтобы быть в курсе новых потенциальных проблем.
Не забывайте регулярно обновлять модуль безопасности (плагин), создавать резервные копии информации.
Что сделает специалист: внедрит подготовленные выражения в код и параметризованные запросы, что защитит ваш сайт от SQL-инъекций. Проведёт код-ревью, выявляя уязвимости и обеспечивая безопасность.
От DDoS-атак
Но для больших платформ потребуется подключение межсетевых экранов, специализированных служб защиты, таких как Cloudflare или Akamai, которые предлагают продвинутые решения для защиты от DDoS. С этим поможет профессионал.
Такие хостеры, как AdminVPS, включают защиту от DDoS-атак в свои тарифы. У AdminVPS эта функция доступна бесплатно на всех тарифах хостинга и VPS/VDS. Узнайте у вашего провайдера, предлагает ли он такую опцию.
От XSS
Для обеспечения базового уровня можно использовать модули безопасности, которые предлагают фильтрацию пользовательского ввода.
Что сделать самостоятельно. Использовать инструменты, которые контролируют и фильтруют информацию, вводимую пользователями. Например, можно установить систему защиты, которая автоматически очищает входные данные от вредоносного кода. Многие платформы управления содержимым имеют встроенные функции фильтрации и обработки пользовательского ввода.
В WordPress это Sucuri Security и Wordfence Security. Для их подключения зайдите в админ-панель вашего сайта, выберите «Плагины» и нажмите «Добавить новый». В поисковой строке введите название плагина (Sucuri Security или Wordfence) → «Установить», а затем «Активировать». Перейдите в настройки плагина и установите необходимые параметры фильтрации пользовательского ввода.
Если у вас есть специфические требования к обработке пользовательского ввода или вы не уверены, что справитесь сами, лучше обратиться за помощью к веб-разработчику или специалисту по безопасности.
Пароли
Создавайте сложные пароли или используйте их генераторы ― LastPass или 1Password. Такие программы помогают создавать сложные пароли для каждого из аккаунтов, сохраняют их для вас. Они способны автоматически заполнять формы, вводить ваши данные на сайтах, что экономит время и снижает вероятность ошибки.
Если вам нужно настроить 2FA (двухфакторную аутентификацию) для более сложных систем или сделать это на уровне всей компании, потребуется помощь IT-специалиста.
Обновление плагинов и CMS
Регулярно обновляйте и плагины, и саму CMS. Многие системы могут автоматически обновляться, что упрощает процесс защиты от уязвимостей.
Как проверить уровень защиты сайта
Чтобы узнать, насколько хорошо защищён проект, воспользуйтесь специальными решениями для сканирования уязвимостей.
OWASP ZAP является бесплатным и открытым инструментом для поиска уязвимостей. Он позволяет находить их в веб-приложениях и используется как разработчиками, так и специалистами по безопасности.
Nessus — это профессиональный сканер безопасности, который предлагает платные версии, хотя также доступна ограниченная бесплатная версия с базовыми функциями.
Snyk предоставляет бесплатный вариант для небольших проектов, однако более расширенные функции требуют подписки на платный план.
Безопасность ресурса — не разовая задача, а целый марафон, где не обойтись без регулярных обновлений, мониторинга трафика, систематической проверки на наличие уязвимостей. Не забывайте об этом, чтобы хакеры не сделали из вашего сайта швейцарский сыр.
Читайте в блоге: