• База знаний
  • /
  • Блог
  • /
  • Wiki
  • /
+380 (44) 364 05 71

Обеспечение безопасности для сайтов и веб приложений

Практически каждая компания обладает своим сайтом, хранит и обрабатывает персональные данные, конфиденциальную информацию. На многих сайтах реализован прием платежей онлайн. Поэтому необходимо комплексно и ответственно подходить к мерам по безопасности сайта и веб приложений.

Рассмотрим их по пунктам.

Содержание

  1. Немного статистики, или как ужаснуть владельцев сайта всего парой цифр
  2. Основные виды уязвимостей, которые используют преступники
  3. Основные принципы безопасности сайта
  4. Аудит безопасности сайта: какие меры предпринять?
  5. Как обезопасить передачу данных
  6. Как получить сертификат безопасности сайта?
  7. Взлом паролей: как его избежать?
  8. Хотлинк защита картинок
  9. Как защититься от взлома CMS

Немного статистики, или как ужаснуть владельцев сайта всего парой цифр

  • С каждым годом число взломанных сайтов растет: только на 2016 год показатель по сравнению с 2015 вырос на 32%. Базовый код не зависит напрямую от внешних систем и не зависит от кода, написанного для взаимодействия с конкретным типом внешней системы.
  • В то же время количество защищенных приложений возрастает за счёт использования современной защиты: в 2019 году их количество составляет 26% от числа разрабатываемых приложений.
  • Каждый год более 15% пользователей становятся жертвами мошенников, похитивших их персональные данные или данные банковских карт с коммерческих сайтов.
  • 82% «лазеек» для злоумышленников приходятся на ошибки в коде приложения.

При этом, в зону риска вполне предсказуемо входят:

  1. Сайты финансовых учреждений.
  2. Страницы мобильных операторов.
  3. Правительственные сайты.
  4. Медиа, имеющие высокую степень влияния.

Не стоит недооценивать угрозу: даже если Вы являетесь владельцем компании, подпадающей под понятие «малого бизнеса», вероятность того, что именно Вы станете целью киберпреступников высока. Небольшие сайты рассматриваются, как плацдармы для отработки приемов по взлому, похищению данных, используются для дальнейших распределенных атак на другие сайты. Что же говорить о сайтах, имеющих большую клиентскую базу, чьи данные представляют завидную добычу для мошенников?

Основные виды уязвимостей, которые используют преступники

  • Использование открытых протоколов передачи данных, без SSL.
  • Взлом паролей.
  • Взлом CMS.
  • Взлом при помощи плагинов и модулей CMS.

Это не полный перечень вариантов, открывающих путь преступникам. С каждым годом количество возможных проблем возрастает.

Основные принципы безопасности сайта

На что опираться владельцам сайта, которые хотят повысить безопасность своей страницы?

Приведем основные принципы:

  1. Планирование мер безопасности - обязательно.
  2. Анализ защищенности сайта стоит проводить не единоразово - количество угроз возрастает, инструменты преступников совершенствуются, и периодическое тестирование безопасности веб-приложений обязательно нужно проводить.
  3. Если выявлены уязвимые места - исправляйте их сразу же.
  4. Вводите максимальное разграничение прав для пользователей и администраторов сайта.
  5. Используйте только надежные пароли.
  6. Используйте только лицензионный софт.
  7. Регулярное обновление CMS - обязательно для защиты сайта.
  8. Обращайтесь к специалистам для настройки безопасности, если вы не уверены в своих силах.

Если безопасность веб-приложений для вас насущная проблема, специалисты FreeHost помогут вам справиться с задачей по её улучшению. Мы предлагаем использовать антивирус, чтобы проверить сайт на заражение, служба технической поддержки по вашему запросу может отключить небезопасные функции PHP или прописать правила фильтрации запросов.

Аудит безопасности сайта: какие меры предпринять?

Для оценки уровня защищенности сайта можно проверить сайт на безопасность онлайн. Но ограничиваться только одним из онлайн-сканеров не стоит. Соберите данные при помощи нескольких средств тестирования безопасности сайта, проверьте, насколько реальна угроза для сайта при его эксплуатации, исправьте найденные проблемы.

Приведем примеры таких он-лайн сканеров:

  1. Virusdie
  2. Scanurl
  3. Website Malware and Security Scanner

Чаще всего, владельцу сайта самостоятельно справиться с аудитом непросто, поэтому лучше привлечь специалистов для его проведения.

Пара наших статей по этой тематике:

Как обезопасить передачу данных

Основной причиной взлома сайтов считается небезопасная передача данных. В основном, в сети используется стандартный протокол передачи данных - HTTP. Он уязвим, но это можно исправить при помощи перехода на протокол HTTPS. Он осуществляет передачу данных с шифрованием, что позволяет сохранить её секретность при передаче от сервера пользователю и от пользователя серверу.

Чтобы ваш сайт начал работать именно с этим протоколом, необходимо получить сертификаты безопасности сайта. Несмотря на то, что использование HTTPS не является обязательным, если у вас на сайте предусмотрено использование платёжных систем, применять его определённо стоит, и причин тому несколько:

  • HTTPS позволит сохранять конфиденциальность платёжных данных клиента.
  • Сами пользователи относятся к сайтам с HTTPS более лояльно.
  • При продвижении в поисковых системах сайты с этим протоколом передачи данных ранжируются лучше.

Как получить сертификат безопасности сайта?

Для того, чтобы перевести ваш сайт на протокол HTTPS, нужно его получить в центре сертификации. Существуют как бесплатные SSL сертификаты, так и платные - с расширенной ответственностью сертификационного центра. FREEhost.UA предоставляет своим клиентам бесплатный SSL-сертификат и помогает его подключить. После получения сертификата необходимо его подключить на сайт и перенаправить все запросы на адрес сайта с HTTPS. Обычно для этого используется прямой редирект с кодом 301. Если вы используете для размещения сайта сервера FreeHost, это можно сделать легко через панель управления. Также не забудьте о том, что понадобится переписать все внутренние ссылки сайта, внести изменения в файл robots.txt, а затем - настроить HTTPS Strict-Transport Security. Наша техподдержка поможет вам на всех этапах перехода на сертификат HTTPS.

Пара наших статей по этой тематике:

Взлом паролей: как его избежать?

Кража паролей открывает преступникам широкие перспективы: они моментально получают доступ ко всей информации на сайте, и могут использовать её в своих целях. Например, рассылать спам пользователям, завладеть данными банковских карт или личными данными пользователей.

Чтобы этого не произошло, необходимо:

  • Настройте защиту от подбора пароля в закрытую часть популярных CMS. Например на сайтах наших клиентов, в случае обнаружения более 5 неудачных попыток входа, происходит автоматическая блокировка IP адреса с которого осуществлялся доступ.
  • Использовать только надежные пароли, которые непросто подобрать. Минимальное число символов для пароля - не менее восьми. В этом случае даже программы для подбора будут подбирать пароль долго.
  • Не передавайте пароли от админпанели посторонним людям. Если добавлять информацию на сайт могут несколько сотрудников, разграничьте их права и не предоставляйте больше прав, чем необходимо для работы.
  • Не сохраняйте пароли на FTP - так их легко похитить. Лучше используйте специальные менеджеры паролей, которые будут шифровать сохраненные пароли.

Приведем примеры таких сервисов:

Хотлинк защита картинок

В переводе с английского hotlink означает “горячая ссылка”. Такая вставка позволяет разместить на своем сайте картинку, JS или css стили с чужого сайта без разрешения владельца.

и создает дополнительную нагрузку на сервер, нарушает авторские права. Т.е. трафик за Вашу интересную картинку идет не на Ваш сайт, а на сайт “того парня”. Чтобы этого не допустить и существует “Hotlink защита”, если обращение к элементу запрещено, сервер вернет ошибку 403. Наша компания предоставляет такой сервис бесплатно.

Как защититься от взлома CMS

Ответ прост: регулярно обновлять версию CMS, не ставить сомнительные плагины и модули, выпущенные аматорами, а также доверять защиту CMS своему хостинг-провайдеру.

Проверка безопасности сайта - это гарантия того, что вы будете использовать его для ведения бизнеса без риска потерять деньги, клиентов и репутацию. Мы описали базовые способы, как обезопасить сайт, но использовать только один из них - непродуктивно. Только комплексный подход в тестировании, выявлении и устранении «слабых мест» поможет вам сделать сайт безопасным.

Кстати читать наш телеграмм канал https://t.me/freehostua, это тоже личная гигиена Вашего сайта. Мы следим и информируем наших читателей про появление новых уязвимостей в популярном ПО и CMS системах.

Дата: 12.03.2020
Автор: Евгений
Голосование

Авторам статьи важно Ваше мнение. Будем рады его обсудить с Вами:

comments powered by Disqus
Спасибо, что выбираете FREEhost.UA