К сожалению, большинство владельцев сайтов игнорируют вопрос безопасности и не вникают в него. И это большая ошибка.

Знание тонкостей безопасности сайта позволяет владельцу сайта принимать необходимые меры для защиты данных пользователей, предотвращения кибератак, соблюдения законодательства и минимизации рисков, связанных с безопасностью. Это важный аспект успешного управления веб-сайтом в современной цифровой среде.

Из наиболее распространенных угроз сайту мы можем выделить две: DDoS-атаки и взлом сайта.

Безопасность сайта

Взлом сайта

Многие люди представляют себе взлом как уничтожение или явное повреждение сайта. Но такое бывает крайне редко, когда кто-то играется.

На самом деле, всегда стараются сделать так, чтобы симптомы взлома не появлялись или проявлялись как можно позже. Все потому, что нет цели уничтожить ваш сайт, есть цель использовать его в своих интересах. Интересы эти могут быть очень разноплановыми. Например: рассылка спама, майнинг криптовалюты, кража персональных данных, размещение на вашем сайте рекламы и прочее.

Абсолютной защиты от взлома не существует и любой сайт можно взломать. Взлом может быть точечным, когда взломать хотят именно ваш сайт и готовы тратить на это ресурсы. Взлом может быть массовым, когда взлом осуществляется ботами на множество сайтов используя уязвимость какой-либо технологии. Массовые автоматизированные попытки взлома составляют подавляющее большинство.

Основными причинами взлома являются использование уязвимых технологий и человеческий фактор.

Использование уязвимых технологий

Что считается уязвимой технологией? Любая система может содержать уязвимости, но до тех пор, пока они не обнаружены, система считается надежной. На протяжении срока службы версии системы, ее разработчики работают над ней и ищут уязвимости. Уязвимости также ищут и хакеры. Очень часто, при обнаружении уязвимости, их публикуют в общий доступ. А разработчики стараются устранить уязвимость и выпустить обновление. Параллельно, разработчики создают новые версии систем и одновременно может поддерживаться несколько версий. Но всегда наступает момент, когда какую-то версию перестают поддерживать. Что это значит? Для версии перестают выпускать обновления и в этот момент она получает статус уязвимой.

Уязвимым может быть движок сайта, операционная система и ПО сервера, а также версия языка программирования. Нужно следить за актуальностью используемых версий и своевременно обновляться.

Человеческий фактор

Очень часто владельцы и администраторы сайта делают все возможное, чтобы потерять контроль над сайтом. И это проявляется в огромном количестве факторов. Не смотря на то, что суть большинства проблем очевидна, и очевидно как их не допускать, меры предосторожности просто игнорируются, поскольку соблюдать их неудобно и лень. Вы можете делегировать выполнение многих мер безопасности, но контроль над соблюдением этих мер должен оставаться у владельца бизнеса, если вы не хотите однажды потерять его.

Проблема паролей.

Ваш пароль не должен быть стандартным. Например: password или 123456 и т.п.

Желательно иметь пароли не менее 12 символов.

Чем больше типов символов используется в вашем пароле, тем сложнее его подобрать. Например: заглавные буквы, прописные буквы, цифры, специальные символы.

Пароль должен быть уникальным. Многие люди используют один сложный пароль на всех сайтах. Если будет раскрыт ваш пароль хоть на одном из таких сайтов, то может быть получен доступ ко всем вашим аккаунтам с таким паролем.

Старайтесь не хранить пароли в памяти браузера. В браузере пароли хранятся не в зашифрованном виде и при взломе вашего браузера пароли будут раскрыты.

Регулярно обновляйте ваши пароли.

Защита сайта

Регистрация аккаунтов на третьих лиц.

Все критичные аккаунты должны быть зарегистрированы на владельца сайта. Не на разработчика, не на сотрудника, только на владельца. Речь идет о хостинге и домене, почтовых аккаунтах, если они созданы отдельно, аккаунты маркетплейсов с плагинами для вашего сайта и прочее.

Так вы сможете избежать ситуации когда ваш сайт “берут в заложники” и что-то требуют за передачу прав. А также избежите распространенной ситуации, когда никто не знает на кого зарегистрирован хостинг и ни у кого нет доступов к нему.

Неконтролируемая передача доступов.

Для работы с сайтом, вам придется предоставить доступ к нему как минимум разработчику и администратору.

Никогда не давайте свой доступ, если это возможно. Создавайте отдельный доступ для каждого специалиста. Создавайте только тот доступ, который ему нужен для работы. Всегда удаляйте доступ, если человек или команда больше не работает над проектом. Не позволяйте людям создавать себе простые пароли.

Резервные копии

Как бы ни была очевидна важность резервных копий, ими почти никто не занимается, даже те, кто уже понес серьезные убытки из-за их отсутствия. Надеемся, что Вы не из этого большинства и учтете рекомендации.

При взломе сайта наличие актуальной чистой копии может сделать процесс восстановления очень простым, в то время как ее отсутствие сделает процесс восстановления крайне сложным или невозможным.

Как часто нужно делать резервные копии?

Частота резервного копирования зависит от частоты изменений на сайте. Если на сайте не происходит изменений по 6 месяцев, то достаточно делать копии каждые 6 месяцев.

В случае интернет-магазина, рекомендуется делать копии каждый день, даже если вы не вносите изменений, чтобы не потерять заказы.

Если возникнет необходимость полностью восстановить резервную копию, то вы потеряете те изменения, которые были внесены на сайт с момента создания данной копии.

Резервные копии сайта

Хранение резервных копий

Помимо создания резервных копий, нужно позаботится об их хранении. Хранить копии нужно на отдельном сервере. Этот сервер как минимум должен быть в другом здании, а желательно в другой стране от основного сервера. Это необходимо для того, чтобы не потерять копии при поломке сервера, пожаре, природных катаклизмах или войне.

Но сервер это место для краткосрочного хранения. Место на сервере не бесконечное и не бесплатное. Потому, с определенной периодичностью необходимо скачивать копии для дальнейшего хранения на локальных носителях.

Схема хранения подбирается в зависимости от особенностей сайта. Например, для интернет-магазина она может быть следующей: по одной копии за каждый месяц существования сайта, по две копии в месяц за последний год, по одной копии в неделю за последние 4 месяца и ежедневные копии за последний месяц.

Процесс создания резервных копий может быть автоматизированным, но менеджментом хранения кто-то должен заниматься.

Бекапы на хостинге.

Многие рассчитывают на автоматическое создание копий на хостинге и ничего больше не делают. Это большая ошибка.

Большинство хостинг-провайдеров предоставляют услугу автоматического резервного копирования. Но не стоит воспринимать эту услугу как решение проблемы. Это только ваш помощник.

На хостинге копии хранятся до 1 месяца. Существуют вирусы с таймером, которые никак не проявляют себя после внедрения, пока все копии на хостинге уже не будут зараженными, а потом активируются. Потому необходимо иметь на длительном хранении более ранние копии.

Иногда, когда необходима копия, можно столкнуться с тем, что на хостинге проводят технические работы и копии не создаются.

Автоматика на хостинге помогает вам создавать копии, но хранением нужно заниматься дополнительно.

Научитесь делать бекапы.

Каждый владелец сайта должен уметь сделать бекап своего сайта. Процесс создания резервных копий может отличаться в зависимости от нюансов сайта и сервера. Вы можете попросить разработчика, научить вас делать бекапы. С подробной инструкцией - это не трудно. Вы не должны самостоятельно делать все копии, но вы должны знать как это делать и иметь возможность создать бекап при необходимости. Рядом со всеми важными документами вашего бизнеса у вас должна лежать флешка с актуальной копией сайта.

Использование пиратского ПО

К сожалению, у нас очень распространено использование пиратского софта. Начиная от Windows и заканчивая мелкими программами.

Когда вы планируете использовать коммерческий софт бесплатно, стоит задаться вопросом, а как этот софт стал бесплатным? Что мотивирует людей взламывать что-то совершая преступление и раздавать это бесплатно? Это делает кто-то с комплексом Робина Гуда или это на самом деле совсем не бесплатно, а вы просто еще не знаете, чем заплатите?

В большинстве случаев, в таком софте есть интеграции. Это касается и коммерческих CMS и плагинов. Эти интеграции могут быть самыми разноплановыми по своей сути, включая бекдоры, позволяющие получить контроль над вашим сервером без доступов.

В этом случае, это даже трудно назвать взломом, фактически, вы сами приглашаете на сайт посторонних.

Безопасность и защита сайта

DDoS-атака

DDoS-атака (distributed denial-of-service - распределенный отказ в обслуживании) - это атака на сервер с целью расходования всех вычислительных ресурсов и приведении сервера в состояние отказа.

Когда сервер получает команду открыть какую-то страницу, он обрабатывает программный код страницы, собирает информацию из базы данных, формирует html-документ и отправляет его клиенту. Время, за которое происходят эти процессы, называют временем ответа сервера.

На время ответа сервера сильно влияет качество программного кода и базы данных, а также количество процессорных ресурсов. У процессора есть два параметра: частота и количество ядер. Частота влияет на скорость выполнения вычислений, а количество ядер влияет на количество вычислений, которые могут производиться параллельно.

Если у сайта время ответа сервера с одним ядром составляет 1 секунду и к нему одновременно обратится 10 пользователей, то последнему сервер ответит уже через 10 секунд. В этом и состоит суть атаки. Нужно нарастить такую очередь, чтобы сервер перестал отвечать. Если же сайт работает быстро и сервер способен справится с огромным трафиком, то атака идет на интернет-канал сервера, чтобы полностью забить его.

У DDoS-атак есть краткосрочные и долгосрочные последствия. К краткосрочным относятся сам факт недоступности сайта, а значит отсутствие возможности продавать на протяжении всей атаки. К долгосрочным относятся снижение лояльности клиентов, которые не смогли воспользоваться сайтом и падение позиций сайта в поисковой выдаче, если поисковый робот заметит недоступность сайта.

Чтобы атака считалась успешной, необходимо чтобы она была длительной. Конечно, недоступность сайта даже на один час уже будет не приятной. Но не много сайтов понесут серьезные убытки от атаки такой длительности. Хорошая атака должна длиться хотя бы три дня, чтобы обеспечить долгосрочные последствия.

Атака может совершаться ботами или людьми. Атака ботами стоит гораздо дешевле, зато атака реальными пользователями имеет максимальную эффективность. Но качественная атака даже ботами будет стоить довольно дорого.

Атака на сайт может совершаться без злого умысла. Например, если ваш сайт решили спарсить и программу парсинга написали неграмотно без перерывов между обращениями, то фактически это будет атакой. Также активность поисковых и других роботов может создать чрезмерную нагрузку на сервер. Потому, крупные сайты вынуждены ограничивать активность поискового робота на своем ресурсе.

Защита от DDoS

Как защититься от DDoS-атак?

Нужно понимать, что атаки бывают разной сложности и мощности. От простых атак защититься легко, а от мощных грамотных атак защититься невозможно.

Есть специальные облачные сервисы, которые могут помочь защититься от атак. Они работают так: когда к вашему сайту идет трафик, этот трафик сначала проходит через защитные серверы, которые его проверяют на наличие подозрительных и вредоносных данных. Если обнаруживается атака, она блокируется, и только хорошие запросы попадают на ваш сайт.

Такие сервисы могут помочь при атаках низкого и среднего уровня. Они часто имеют несколько пакетов предложений, включая бесплатные. Очевидно, что уровень защиты у них разный и использование какого-то пакета услуг не дает гарантии, что на ваш сайт не будет совершена успешная атака.

Стоит понимать, что подавляющее большинство сайтов за всю историю своего существования не сталкиваются ни с одной атакой. Так стоит ли превентивно использовать облачную защиту? На мой взгляд, нет. Использование облачной защиты замедляет загрузку сайта. Потому, использование даже бесплатного тарифа считаю излишним, пока сайт не начнут атаковать.

Лучшая защита от атак - это скорость работы сайта и производительность сервера.

Если время ответа сервера (с шестью ядрами) на вашем сайте составляет 1 секунду, то для того, чтобы обеспечить замедление сайта до 10 секунд на протяжении суток, необходимо обеспечить 60 обращений к сайту в секунду или более 5 миллионов обращений в сутки. Но если время ответа сервера составляет 150 миллисекунд, то для того же результата понадобится 400 обращений в секунду или 34,5 миллиона обращений в сутки. Чем быстрее ваш сайт, тем сложнее и дороже организовать эффективную атаку.

Безопасность сайта - это процесс, который должен стать неотъемлемой рутиной вашего бизнеса.