Безопасность и защита сайта — как защитить веб-сайт?
· Время на чтение: 28мин · Автор: · Опубликовано · ОбновленоЗащита сайта — как защитить и обезопасить свой веб-сайт? Безопасность веб-сайтов может быть сложной (или даже запутанной) темой в постоянно меняющейся среде. Это руководство призвано предоставить четкую основу для владельцев веб-сайтов, стремящихся снизить риски и применить принципы безопасности к своим веб-ресурсам.
Прежде чем мы начнем, важно иметь в виду, что безопасность никогда не является решением по принципу «установи и гуляй». Вместо этого я рекомендую вам думать об этом как о непрерывном процессе, который требует постоянной оценки для снижения общего риска.
Применяя системный подход к безопасности веб-сайта, мы можем представить его как основу, состоящую из множества уровней защиты, объединенных в один элемент. Нам нужно рассматривать безопасность веб-сайта целостно и подходить к ней со стратегией глубокоэшелонированной защиты.
Содержание статьи:
- Что такое безопасность веб-сайта?
- Уязвимости и угрозы веб-сайта
- Безопасность веб-сайта электронной коммерции и соответствие PCI
- Фреймворк безопасности веб-сайта
- Как защитить свой сайт и обеспечить безопасность?
- Дополнительные меры безопасности веб-сайта
- Часто задаваемые вопросы о безопасности веб-сайта
Что такое безопасность веб-сайта?
Безопасность веб-сайта — это меры, принимаемые для защиты веб-сайта от кибератак. В этом смысле безопасность веб-сайта — это непрерывный процесс и неотъемлемая часть управления веб-сайтом.
Почему важна безопасность веб-сайта?
Безопасность веб – сайтов может быть сложной задачей, особенно при работе с большой сетью сайтов. Наличие защищенного веб-сайта так же важно для чьего-либо присутствия в Интернете, как наличие хостинга веб-сайта.
Например, если веб-сайт взломан и занесен в черный список, он может потерять до 98% своего трафика. Отсутствие защищенного веб-сайта может быть таким же плохим, как отсутствие веб-сайта вообще, или даже хуже. Например, утечка данных клиентов может привести к судебным искам, крупным штрафам и испорченной репутации.
1. Стратегия глубокоэшелонированной защиты
Стратегия эшелонированной защиты для безопасности веб-сайтов рассматривает глубину защиты и широту поверхности атаки для анализа инструментов, используемых в стеке. Такой подход дает более точную картину современного ландшафта угроз безопасности веб-сайтов.
Как веб-профессионалы видят безопасность веб-сайтов
Мы не можем забывать о статистике, которая делает безопасность веб-сайтов привлекательной темой для любого онлайн-бизнеса, независимо от его размера.
Проанализировав более 1000 ответов на опросы от веб-профессионалов , можно сделать некоторые выводы о ландшафте безопасности:
- 67% клиентов веб-специалистов спрашивали о безопасности веб-сайтов, но лишь менее 1% респондентов предлагают безопасность веб-сайтов как услугу.
- Около 72% веб-специалистов обеспокоены кибератаками на клиентские сайты.
Почему сайты взламывают
В 2019 году в сети было более 1,94 миллиарда веб-сайтов. Это обеспечивает обширную площадку для хакеров. Часто существует неправильное представление о том, почему сайты взламывают. Владельцы и администраторы часто считают, что их не взломают, потому что их сайты меньше и, следовательно, менее привлекательны для хакеров. Хакеры могут выбирать более крупные сайты, если хотят украсть информацию или саботировать. Для других целей (которые встречаются чаще) любой небольшой сайт имеет большую ценность.
При взломе веб-сайтов преследуются различные цели, но основными являются:
- Использование посетителей сайта.
- Кража информации, хранящейся на сервере.
- Обман ботов и поисковых роботов (черное SEO).
- Злоупотребление ресурсами сервера.
- Чистое хулиганство (порча).
2. Автоматические атаки на веб-сайты
К сожалению, автоматизация снижает накладные расходы, допускает массовое раскрытие информации и увеличивает шансы на успешную компрометацию — независимо от объема трафика или популярности веб-сайта.
На самом деле, автоматизация является королем в мире хакерства . Автоматические атаки часто включают использование известных уязвимостей для воздействия на большое количество сайтов, иногда даже без ведома владельца сайта.
Автоматические атаки основаны на возможности. Вопреки распространенному мнению, автоматизированные атаки гораздо более распространены, чем подобранные вручную целевые атаки из-за их охвата и простоты доступа. Почти 60% Интернета работает на CMS.
Вопросы безопасности CMS
Среднестатистическому владельцу сайта стало проще быстро выходить в интернет с помощью системы управления контентом (CMS) с открытым исходным кодом, такой как WordPress, Magento, Joomla или Drupal и прочих.
Хотя эти платформы часто предоставляют частые обновления безопасности, использование сторонних расширяемых компонентов, таких как плагины или темы, приводит к уязвимостям, которые легко могут быть использованы для атак при возможности.
Эталоном информационной безопасности является — Конфиденциальность, Целостность и Доступность . Эта модель используется для разработки политик для обеспечения безопасности организаций.
3. Конфиденциальность, целостность и доступность
- Конфиденциальность относится к контролю доступа к информации, чтобы гарантировать, что те, кто не должен иметь доступа, не допускаются. Это можно сделать с помощью паролей, имен пользователей и других компонентов контроля доступа.
- Целостность гарантирует, что информация, которую получают конечные пользователи, является точной и неизменной кем-либо, кроме владельца сайта. Это часто делается с помощью шифрования, такого как сертификаты Secure Socket Layer (SSL), которые обеспечивают шифрование передаваемых данных.
- Доступность обеспечивает доступ к информации в случае необходимости. Наиболее распространенной угрозой доступности веб-сайтов является распределенная атака типа «отказ в обслуживании» или DDoS-атака.
Теперь, когда у нас есть некоторые сведения об автоматических и целевых атаках, мы можем углубиться в некоторые из наиболее распространенных угроз безопасности веб-сайтов.
Уязвимости и угрозы веб-сайта
Вот наиболее распространенные уязвимости и угрозы безопасности веб-сайтов:
1. SQL-инъекции — подобные атаки SQL-инъекций осуществляются путем внедрения вредоносного кода в уязвимый SQL-запрос. Они полагаются на то, что злоумышленник добавляет специально созданный запрос в сообщение, отправляемое веб-сайтом в базу данных.
Успешная атака изменит запрос к базе данных таким образом, что он вернет информацию, желаемую злоумышленником, вместо информации, ожидаемой веб-сайтом. SQL-инъекции могут даже изменить или добавить вредоносную информацию в базу данных.
2. Межсайтовый скриптинг (XSS) — это атаки с использованием межсайтовых сценариев состоят из внедрения вредоносных сценариев на стороне клиента в веб-сайт и использования веб-сайта в качестве метода распространения. Опасность XSS заключается в том, что он позволяет злоумышленнику вводить контент на веб-сайт и изменять способ его отображения, заставляя браузер жертвы выполнять код, предоставленный злоумышленником, при загрузке страницы. Если вошедший в систему администратор сайта загружает код, скрипт будет выполняться с его уровнем привилегий, что потенциально может привести к захвату сайта.
3. Атаки учетных данных методом грубой силы — получение доступа к административной панели веб-сайта, панели управления или даже к SFTP-серверу является одним из наиболее распространенных векторов, используемых для компрометации веб-сайтов. Процесс очень прост:
- Злоумышленники в основном программируют сценарий, чтобы попробовать несколько комбинаций имен пользователей и паролей, пока не будет найдено то, что работает;
- После предоставления доступа злоумышленники могут запускать различные вредоносные действия, от спам -кампаний до майнинга монет и кражи информации дибет. или кредитных карт.
4. Заражение веб-сайта вредоносным ПО и атаки — используя некоторые из предыдущих проблем безопасности в качестве средства для получения несанкционированного доступа к веб-сайту, злоумышленники могут следующее:
- Внедрить SEO-спам на страницу;
- Удалить бэкдор, чтобы сохранить доступ;
- Собирать информацию о посетителях или данные карт;
- Запускать эксплойты на сервере для повышения уровня доступа;
- Используйте компьютеры посетителей для майнинга криптовалют;
- Хранить скрипты команд и управления ботнетами;
- Показывать нежелательную рекламу, перенаправлять посетителей на мошеннические сайты;
- Хостинг вредоносных загрузок;
- Запускать атаки на другие сайты.
5. DoS/DDoS-атаки — атака распределенного отказа в обслуживании (DDoS) — это ненавязчивая интернет-атака. Это делается для того, чтобы отключить целевой веб-сайт или замедлить его работу, заполнив сеть, сервер или приложение фальшивым трафиком.
DDoS-атаки — это угрозы, с которыми владельцы веб-сайтов должны ознакомиться, поскольку они являются важной частью системы безопасности. Когда DDoS-атака нацелена на уязвимую ресурсоемкую конечную точку, даже небольшого объема трафика достаточно для успешной атаки.
Безопасность веб-сайта электронной коммерции и соответствие PCI
Стандарты безопасности данных индустрии платежных карт (PCI-DSS) определяют требования для владельцев веб-сайтов с интернет-магазинами. Эти требования помогают обеспечить надлежащую защиту данных держателей карт, которые вы собираете в качестве интернет-магазина. В соответствии с PCI DSS данные держателя карты, которые должны быть защищены, относятся к полному основному номеру счета (PAN), но могут также отображаться в одной из следующих форм:
- Полные данные магнитной полосы (или эквивалент чипа);
- Срок годности;
- Сервисный код;
- Пин-код;
- CVV цифры;
- Имя и/или фамилия держателя карты.
Правила соответствия PCI применяются независимо от того, передаете ли вы данные в цифровом виде, в письменной форме или общаетесь с другим лицом, имеющим доступ к данным.
Для веб-сайтов электронной коммерции очень важно сделать все, что в ваших силах, чтобы обеспечить передачу данных о держателях карт из браузера на веб-сервер путем надлежащего шифрования через HTTPS. Он также должен храниться на сервере в безопасном и аналогичном зашифрованном виде при передаче любым сторонним службам обработки платежей.
Хакеры могут попытаться украсть или перехватить данные держателей карт в любое время, независимо от того, находятся ли данные в состоянии покоя или в пути.
Фреймворк безопасности веб-сайта
Независимо от размера вашего бизнеса, разработка системы безопасности может помочь снизить общий риск. Понимание того, что безопасность — это непрерывный процесс, означает, что он начинается с создания основы безопасности веб-сайта. Эта структура будет включать создание «культуры безопасности», при которой запланированные проверки помогут сохранить простоту и своевременность.
Пять функций: « Идентифицировать», «Защитить», «Обнаружить», «Отреагировать» и «Восстановить » будут подробно описаны вместе с действиями, которые необходимо применить.
1. Идентифицировать — на этом этапе документируется и проверяется вся инвентаризация и управление активами. Инвентаризацию и управление активами можно сделать на один шаг дальше в следующих подкатегориях:
- веб-ресурсы;
- веб-серверы и инфраструктура;
- плагины, расширения, темы и модули;
- сторонние интеграции и сервисы;
- точки и узлы доступа.
Когда у вас есть список активов вашего веб-сайта, вы можете предпринять шаги для аудита и защиты каждого из них от атак.
2. Защищать — есть много причин, по которым наличие превентивных мер веб-безопасности имеет решающее значение, но с чего начать? Они известны как защитные технологии и уровни защиты. Иногда эти меры удовлетворяют требованиям соответствия, таким как PCI, или упрощают виртуальное исправление и укрепление сред, уязвимых для атак. Защита также может включать в себя обучение сотрудников и политики контроля доступа.
Один из лучших способов защитить ваш веб-сайт — активировать брандмауэр веб-приложений. Если вы потратите много времени на продумывание процессов, инструментов и конфигураций безопасности, это повлияет на состояние безопасности вашего веб-сайта.
3. Обнаружить (непрерывный мониторинг) — это концепция, которая относится к внедрению инструментов для мониторинга вашего веб-сайта (активов) и оповещения вас о любых проблемах. Должен быть установлен мониторинг для проверки состояния безопасности:
- DNS записи;
- SSL-сертификаты;
- настройка веб-сервера;
- обновления приложений;
- доступ пользователей;
- целостность файлов.
Вы также можете использовать сканеры безопасности и инструменты (например, SiteCheck ) для поиска индикаторов компрометации или уязвимости.
4. Реагировать — анализ и смягчение последствий помогают создать категорию реагирования. При возникновении инцидента должен быть план реагирования. Наличие плана реагирования до инцидента компрометации творит чудеса с психикой. Надлежащий план реагирования на инциденты включает в себя:
- Выбор группы реагирования на инциденты или человека;
- Сообщение об инциденте для проверки результатов;
- Смягчение события.
В процессе исправления мы никогда не знаем заранее, какое вредоносное ПО мы собираемся найти. Некоторые проблемы могут быстро распространяться и заражать другие веб-сайты в среде общих серверов (перекрестное заражение). Процесс реагирования на инциденты, согласно определению NIST, разбит на четыре основных этапа:
- Подготовка и планирование;
- Обнаружение и анализ;
- Сдерживание, искоренение и восстановление;
- Действия после инцидента.
Полноценный подготовительный этап и команда по обеспечению безопасности веб-сайта, на которую вы можете положиться , имеют решающее значение для успеха миссии. Вот как это должно выглядеть:
Подготовка и планирование
На этом этапе мы убеждаемся, что у нас есть все необходимые инструменты и ресурсы до того, как произойдет инцидент. Все это идет рука об руку с предыдущими разделами структуры безопасности.
Хостинговые компании играют решающую роль на этом этапе, обеспечивая достаточную безопасность систем, серверов и сетей. Также важно убедиться, что ваш веб-разработчик или техническая команда готовы справиться с инцидентом безопасности.
Обнаружение и анализ
Хоть и существует несколько методов атаки, мы должны быть готовы справиться с любым инцидентом. Большинство заражений — это уязвимые компоненты, установленные на веб-сайте (в основном плагины), компрометации паролей (слабый пароль, перебор) и другие.
В зависимости от проблемы и намерения фаза обнаружения может быть сложной. Некоторые злоумышленники ищут славы, другие могут захотеть использовать ресурсы или перехватить конфиденциальную информацию.
В некоторых случаях нет никаких признаков того, что бэкдор был установлен, ожидая доступа злоумышленника для злонамеренных действий. Поэтому настоятельно рекомендуется реализовать механизмы для обеспечения целостности вашей файловой системы.
Сдерживание, искоренение и восстановление
Что касается этапа «Сдерживание, устранение и восстановление», процесс должен адаптироваться к типу проблемы, обнаруженной на веб-сайте, и заранее определенным стратегиям, основанным на атаке. Например, заражение криптомайнерами обычно потребляет много ресурсов сервера (личера), и перед началом процесса исправления группа реагирования на инциденты должна локализовать угрозу.
Сдерживание этой атаки является важным шагом для предотвращения истощения дополнительных ресурсов и дальнейшего ущерба. Эта система принятия решений и стратегии являются важной частью этого этапа. Например, если мы идентифицируем конкретный файл как на 100% вредоносный, должно быть действие по его уничтожению. Если файл содержит частично вредоносный код, следует удалить только эту часть. Каждый сценарий должен иметь определенный процесс.
Действия после инцидента
И последнее, но не менее важное: «Действия после инцидента» также можно назвать этапом «Извлеченных уроков». На этом этапе группа реагирования на инциденты должна представить отчет с подробным описанием того, что произошло, какие действия были предприняты и насколько хорошо сработало вмешательство. Мы должны задуматься над инцидентом, извлечь из него уроки и принять меры, чтобы предотвратить подобные проблемы в будущем. Эти действия могут быть такими же простыми, как обновление компонента, изменение паролей или добавление брандмауэра веб -сайта для предотвращения атак на границе.
Проведите обзор действий, которые необходимо предпринять вашему отделу для дальнейшего укрепления системы безопасности. Затем убедитесь, что вы предпринимаете эти действия как можно быстрее. Все дальнейшие действия вы можете основывать на следующих советах:
- Ограничьте глобальный доступ к вашему сайту (или определенным областям) с помощью методов GET или POST, чтобы свести к минимуму воздействие.
- Обновите права доступа к каталогам и файлам, чтобы обеспечить правильный доступ для чтения/записи.
- Обновите или удалите устаревшее программное обеспечение/темы/плагины.
- Немедленно сбросьте свои пароли с помощью надежной политики паролей.
- Активируйте 2FA/MFA везде, где это возможно, чтобы добавить дополнительный уровень аутентификации.
Кроме того, если вы активно используете брандмауэр веб-приложений (WAF), просмотрите существующую конфигурацию, чтобы определить возможные изменения, которые необходимо внести. Помните, что хотя WAF помогают соответствовать нескольким стандартам безопасности данных индустрии платежных карт (PCI DSS), они не являются панацеей. Есть и другие факторы, которые могут повлиять на ваш бизнес, особенно человеческий фактор.
5. Восстановиться — планирование восстановления произойдет, когда будет проведен полный анализ всех этапов в случае инцидента. Восстановление также связано с наличием плана резервного копирования для ситуаций, в которых все предыдущие этапы не удались, например, в случае атак программ-вымогателей.
Этот процесс также должен включать в себя организацию времени, чтобы поговорить с вашим поставщиком средств безопасности о том, как улучшить слабые места. Они лучше оснащены, чтобы предложить понимание того, что можно сделать.
Имейте коммуникационную стратегию
Если какие-либо данные находятся под угрозой, сообщите об этом своим клиентам. Это особенно важно, если вы ведете бизнес в ЕС, где организация должна сообщить об утечке данных в течение 72 часов в соответствии со статьей 33 Общего регламента по защите данных (GDPR) .
Используйте автоматическое резервное копирование
Независимо от того, что вы делаете для защиты своего веб-сайта, риск никогда не будет равен нулю. Если функциональность вашего веб-сайта повреждена, вам нужен способ быстро восстановить данные — не один, а как минимум два. Крайне важно иметь локальную резервную копию всего приложения и внешнюю резервную копию, не связанную напрямую с приложением, на случай аппаратного сбоя или атаки.
Как защитить свой сайт и обеспечить безопасность?
Нельзя недооценивать важность безопасности веб-сайта. В этом разделе мы рассмотрим, как обеспечить безопасность и защиту вашего веб-сайта. Это не пошаговое руководство, но оно предоставит вам рекомендации по безопасности веб-сайта, чтобы найти подходящие услуги для ваших нужд.
1. Обновляйте все — бесчисленное количество веб-сайтов каждый день подвергается риску из-за устаревшего и небезопасного программного обеспечения. Важно обновить свой сайт, как только появится новый плагин или версия CMS. Эти обновления могут просто содержать улучшения безопасности или исправленные уязвимости.
Большинство атак на веб-сайты автоматизированы. Боты постоянно сканируют каждый сайт, какой только могут, в поисках возможностей эксплуатации. Уже недостаточно обновлять раз в месяц или даже раз в неделю, потому что боты, скорее всего, найдут уязвимость до того, как вы ее исправите.
Вот почему вы должны использовать брандмауэр веб-сайта, который практически закроет дыру в безопасности, как только будут выпущены обновления. Если у вас есть веб-сайт WordPress, вы должны рассмотреть один плагин — WP Updates Notifier. Он отправляет вам электронное письмо, чтобы сообщить, когда доступно обновление плагина или ядра WordPress.
2. Имейте надежные пароли — наличие безопасного веб-сайта во многом зависит от вашей безопасности. Вы когда-нибудь задумывались о том, как используемые вами пароли могут угрожать безопасности вашего сайта?
Чтобы очистить зараженные веб-сайты, ремедиаторы должны войти на клиентский сайт или сервер, используя свои данные пользователя-администратора. Они могут быть удивлены, увидев, насколько ненадежными могут быть пароли root. С такими логинами, как admin/admin, у вас может вообще не быть пароля.
Хакеры будут комбинировать данные из сети со словарными списками слов, чтобы генерировать еще большие списки потенциальных паролей. Если пароли, которые вы используете, находятся в одном из этих списков, это всего лишь вопрос времени, когда ваш сайт будет скомпрометирован.
Рекомендации по надежным паролям
Рекомендации по созданию надежного пароля:
- Не используйте пароли повторно: каждый ваш пароль должен быть уникальным. Менеджер паролей может упростить эту задачу.
- Используйте длинные пароли. Попробуйте использовать более 12 символов. Чем длиннее пароль, тем больше времени потребуется компьютерной программе для его взлома.
- Используйте случайные пароли . Программы для взлома паролей могут подобрать миллионы паролей за считанные минуты, если они содержат слова, найденные в Интернете или в словарях. Если в вашем пароле есть настоящие слова, он не случайный. Если вы можете легко произнести свой пароль, это означает, что он недостаточно надежен. Даже замены символов (т.е. замены буквы О цифрой 0) недостаточно. Есть несколько полезных менеджеров паролей, таких как LastPass (онлайн) и KeePass 2 (офлайн). Эти инструменты хранят все ваши пароли в зашифрованном формате и могут легко генерировать случайные пароли одним нажатием кнопки. Менеджеры паролей позволяют использовать надежные пароли, избавляя от необходимости запоминать более слабые или записывать их.
3. Один сайт = одно место хранения — размещение множества веб-сайтов на одном сервере может показаться идеальным, особенно если у вас «неограниченный» план веб-хостинга. К сожалению, это одна из худших практик безопасности, которую вы можете использовать. Размещение множества сайтов в одном месте создает очень большую поверхность для атаки. Вы должны знать, что перекрестное загрязнение очень распространено. Это когда на сайт негативно влияют соседние сайты на том же сервере из-за плохой изоляции сервера или конфигурации учетной записи.
Например, сервер, содержащий один сайт, может иметь одну установку WordPress с темой и 10 плагинами, которые потенциально могут стать целью злоумышленника. Если вы разместите пять сайтов на одном сервере, у злоумышленника может быть три установки WordPress, две установки Joomla, пять тем и 50 плагинов, которые могут быть потенциальными целями. Что еще хуже, как только злоумышленник обнаружил эксплойт на одном сайте, заражение может легко распространиться на другие сайты на том же сервере.
Мало того, что это может привести к тому, что все ваши сайты будут взломаны одновременно, это также сделает процесс очистки намного более трудоемким и трудным. Зараженные сайты могут продолжать повторно заражать друг друга, вызывая бесконечный цикл.
После того, как очистка прошла успешно, у вас теперь есть гораздо более сложная задача, когда дело доходит до сброса ваших паролей. Вместо одного сайта у вас их несколько. Каждый отдельный пароль, связанный с каждым веб-сайтом на сервере, должен быть изменен после того, как инфекция исчезнет. Это включает в себя все ваши базы данных CMS и пользователей протокола передачи файлов (FTP) для каждого из этих веб-сайтов. Если вы пропустите этот шаг, все веб-сайты могут быть повторно заражены, и вам придется перезапустить процесс.
4. Ограничение доступа и разрешений пользователей — код вашего веб-сайта может не быть целью злоумышленника, но ваши пользователи будут. Запись IP-адресов и всей истории активности будет полезна для судебного анализа позже.
Например, значительное увеличение числа зарегистрированных пользователей может свидетельствовать о сбое в процессе регистрации и позволить спамерам наводнить ваш сайт поддельным контентом.
Принцип наименьших привилегий
Принцип наименьших привилегий основан на принципе, который направлен на достижение двух целей:
- Использование минимального набора привилегий в системе для выполнения действия;
- Предоставление этих привилегий только на время, когда необходимо действие.
Предоставление привилегий определенным ролям будет диктовать, что они могут и чего не могут делать. В идеальной системе роль остановит любого, кто попытается выполнить действие, выходящее за рамки того, для чего она предназначена.
Например, предположим, что администратор может вставлять нефильтрованный HTML-код в сообщения или выполнять команды для установки плагинов. Это уязвимость? Нет, это особенность, основанная на одном очень важном элементе – доверии. Однако должен ли автор иметь такие же привилегии и доступ? Рассмотрите возможность разделения ролей на основе доверия и заблокируйте все учетные записи.
Это относится только к сайтам с несколькими пользователями или логинами. Важно, чтобы у каждого пользователя было соответствующее разрешение, необходимое для выполнения его работы. Если на данный момент необходимы расширенные разрешения, предоставьте их. Затем уменьшите его, как только работа будет завершена.
Например, если кто-то хочет написать для вас гостевую запись в блоге, убедитесь, что у его учетной записи нет полных прав администратора. Учетная запись должна иметь возможность только создавать новые сообщения и редактировать свои собственные сообщения, потому что им не нужно изменять настройки веб-сайта. Тщательно определенные роли пользователей и правила доступа ограничат любые возможные ошибки. Это также уменьшает количество скомпрометированных учетных записей и может защитить от вреда, нанесенного мошенническими пользователями.
Это часто упускаемая из виду часть управления пользователями: подотчетность и мониторинг. Если несколько человек используют одну и ту же учетную запись пользователя и этот пользователь вносит нежелательные изменения, как узнать, кто из вашей команды несет за это ответственность?
Если у вас есть отдельные учетные записи для каждого пользователя, вы можете следить за их поведением, просматривая журналы и зная их обычные тенденции, например, когда и где они обычно посещают веб-сайт. Таким образом, если пользователь входит в систему в неурочное время или из подозрительного места, вы можете провести расследование. Ведение журналов аудита жизненно важно для отслеживания любых подозрительных изменений на вашем веб-сайте.
Журнал аудита — это документ, в котором записываются события на веб-сайте, чтобы вы могли обнаружить аномалии и подтвердить ответственному лицу, что учетная запись не была скомпрометирована.
Конечно, некоторым пользователям может быть сложно вести журналы аудита вручную. Если у вас есть веб-сайт WordPress, вы можете использовать бесплатный плагин безопасности Sucuri, который можно загрузить из официального репозитория WordPress.
Права доступа к файлам
Права доступа к файлам определяют, кто и что может делать с файлом. Каждый файл имеет три доступных разрешения, и каждое разрешение представлено числом:
- Чтение (4): просмотр содержимого файла;
- Запись (2): изменить содержимое файла;
- Выполнить (1): запустить программный файл или скрипт.
Если вы хотите разрешить несколько разрешений, просто сложите числа вместе, например, чтобы разрешить чтение (4) и запись (2), вы устанавливаете разрешение пользователя на 6. Если вы хотите разрешить пользователю читать (4), писать (2 ) и выполните (1), затем установите разрешение пользователя на 7.
Типы пользователей
Также есть три типа пользователей:
- Владелец : Обычно это создатель файла, но это можно изменить. Только один пользователь может быть владельцем;
- Группа : Каждому файлу назначается группа, и любой пользователь, входящий в эту группу, получит эти разрешения;
- Общие : все остальные.
Итак, если вы хотите, чтобы владелец имел доступ на чтение и запись, группа имела доступ только на чтение, а публика не имела доступа, настройки прав доступа к файлам должны быть следующими:
5. Изменить настройки CMS по умолчанию — современные приложения CMS (хотя и простые в использовании) могут быть сложными с точки зрения безопасности для конечных пользователей. Безусловно, наиболее распространенные атаки на веб-сайты полностью автоматизированы. Многие из этих атак основаны на том, что у пользователей есть только настройки по умолчанию. Это означает, что вы можете избежать большого количества атак, просто изменив настройки по умолчанию при установке выбранной вами CMS.
Например, некоторые приложения CMS доступны для записи пользователем, что позволяет пользователю устанавливать любые расширения, которые он хочет.
Существуют настройки, которые вы можете настроить для управления комментариями, пользователями и видимостью вашей пользовательской информации. Права доступа к файлам — еще один пример настройки по умолчанию, которую можно усилить.
Вы можете изменить эти данные по умолчанию при установке CMS или позже, но не забудьте сделать это.
6. Выбор расширения (плагинов) — веб-мастерам обычно нравится расширяемость приложений CMS, но она также может представлять собой один из самых больших недостатков. Существуют плагины, надстройки и расширения, которые предоставляют практически любую функциональность, которую вы только можете себе представить. Но как узнать, какой из них безопасно установить?
Выбор безопасных расширений (плагинов) — основная безопасность сайта
Вот на что следует обратить внимание при выборе расширений:
- Когда (плагин) расширение было в последний раз обновлено: если последнее обновление было больше года назад, возможно, автор прекратил работу над ним. Используйте расширения, которые активно разрабатываются, потому что это указывает на то, что автор, по крайней мере, будет готов реализовать исправление, если обнаружатся проблемы с безопасностью. Кроме того, если расширение не поддерживается автором, оно может перестать работать, если обновления ядра вызовут конфликты.
- Возраст (плагина) расширения и количество установок. Расширение, разработанное признанным автором и имеющее множество установок, заслуживает большего доверия, чем расширение с небольшим количеством установок, выпущенное разработчиком-новичком. Мало того, что опытные разработчики имеют лучшее представление о передовых методах обеспечения безопасности, они также с гораздо меньшей вероятностью навредят своей репутации, вставив вредоносный код в свое расширение.
- Легальные и надежные источники: загружайте плагины, расширения и темы из законных источников. Остерегайтесь бесплатных версий, которые могут быть пиратскими и зараженными вредоносным ПО. Есть некоторые расширения, единственная цель которых — заразить вредоносным ПО как можно больше веб-сайтов.
7. Имейте резервные копии своих веб-сайтов — в случае взлома резервные копии веб-сайта имеют решающее значение для восстановления вашего веб-сайта после серьезного нарушения безопасности. Хотя это не должно рассматриваться как замена решения для обеспечения безопасности веб-сайта, резервное копирование может помочь восстановить поврежденные файлы.
Выбор лучшего решения для резервного копирования веб-сайтов
Хорошее решение для резервного копирования должно отвечать следующим требованиям:
— Во-первых, они должны быть вне сайта. Если ваши резервные копии хранятся на сервере вашего веб-сайта, они так же уязвимы для атак, как и все остальное. Вы должны хранить свои резервные копии за пределами сайта, потому что вы хотите, чтобы ваши сохраненные данные были защищены от хакеров и сбоев оборудования. Хранение резервных копий на вашем веб-сервере также представляет собой серьезную угрозу безопасности. Эти резервные копии всегда содержат неисправленные версии вашей CMS и расширений, что дает хакерам легкий доступ к вашему серверу.
— Во-вторых, ваши резервные копии должны быть автоматическими. Вы делаете так много вещей каждый день, что необходимость помнить о резервном копировании вашего веб-сайта может быть немыслимой. Используйте решение для резервного копирования, которое можно запланировать в соответствии с потребностями вашего веб-сайта.
Чтобы закончить, иметь надежное восстановление. Это означает наличие резервных копий ваших резервных копий и их тестирование, чтобы убедиться, что они действительно работают. Вам понадобится несколько резервных копий для избыточности. Делая это, вы можете восстановить файлы с момента, предшествующего взлому.
8. Файлы конфигурации сервера — ознакомьтесь с файлами конфигурации вашего веб-сервера: веб-серверы Apache используют файл .htaccess, серверы Nginx используют nginx.conf, серверы Microsoft IIS используют web.config.
Файлы конфигурации сервера, которые чаще всего находятся в корневом веб-каталоге, очень мощны. Они позволяют вам выполнять правила сервера, в том числе директивы, повышающие безопасность вашего сайта. Если вы не уверены, какой веб-сервер вы используете, запустите свой веб-сайт через Sitecheck и перейдите на вкладку «Сведения о веб-сайте».
Безопасность сайта — лучшие практики веб-серверов
Вот несколько рекомендаций, которые можно добавить для конкретного веб-сервера:
- Запретите доступ к каталогам: это предотвращает просмотр злоумышленниками содержимого каждого каталога на веб-сайте. Ограничение информации, доступной злоумышленникам, всегда является полезной мерой безопасности.
- Предотвращение хотлинкинга изображений: хотя это не является строго улучшением безопасности, оно не позволяет другим веб-сайтам отображать изображения, размещенные на вашем веб-сервере. Если люди начнут хотлинковать изображения с вашего сервера, допустимая пропускная способность вашего хостинг-плана может быть быстро использована для отображения изображений для чужого сайта.
- Защита конфиденциальных файлов: вы можете установить правила для защиты определенных файлов и папок. Файлы конфигурации CMS являются одними из наиболее важных файлов, хранящихся на веб-сервере, поскольку они содержат данные для входа в базу данных в виде обычного текста. Другие места, такие как административные области, могут быть заблокированы. Вы также можете ограничить выполнение PHP в каталогах, содержащих изображения или разрешающих загрузку.
9. Установите SSL-сертификат — SSL-сертификаты используются для шифрования данных при передаче между хостом (веб-сервером или брандмауэром) и клиентом (веб-браузером). Это помогает гарантировать, что ваша информация будет отправлена на правильный сервер и не будет перехвачена.
Некоторые типы SSL-сертификатов, такие как SSL-сертификат организации или SSL-сертификат с расширенной проверкой , добавляют дополнительный уровень доверия, поскольку посетитель может видеть сведения о вашей организации и знать, что вы являетесь законным лицом.
Как компания, занимающаяся безопасностью веб-сайтов, мы должны обучать веб-мастеров и информировать их о том, что SSL-сертификаты не защищают веб-сайты от атак и взломов . SSL-сертификаты шифруют данные при передаче, но не добавляют защитный слой к самому веб-сайту.
10. Установите инструменты сканирования и мониторинга — контролируйте каждый шаг, чтобы обеспечить целостность приложения. Механизмы оповещения могут сократить время отклика и уменьшить ущерб в случае взлома. Без проверок и сканирования, как вы узнаете, что ваш сайт был скомпрометирован?
Журналы как минимум за месяц могут оказаться весьма полезными для обнаружения сбоев в работе приложения. Они также покажут, подвергается ли сервер DDoS-атаке или испытывает ли он ненужную нагрузку. Записывайте и регулярно просматривайте все действия, происходящие в критически важных частях приложения, особенно (но не исключительно) в областях администрирования. Злоумышленник может попытаться использовать менее важную часть сайта для более высокого уровня доступа позже.
Обязательно создайте триггеры, чтобы оповещать вас в случае атаки методом перебора или попытки использовать какие-либо функции сайта, в том числе не связанные с системами аутентификации. Важно регулярно проверять наличие обновлений и применять их, чтобы убедиться, что у вас установлены последние исправления безопасности. Это особенно верно, если вы не активируете брандмауэр веб-приложения для блокировки попыток эксплуатации уязвимости.
11. Следуйте рекомендациям по обеспечению личной безопасности — защита вашего персонального компьютера является важной задачей для владельцев веб-сайтов. Ваши устройства могут стать вектором заражения и привести к взлому вашего сайта.
В хорошем руководстве по безопасности веб-сайта упоминается сканирование вашего компьютера на наличие вредоносных программ, если ваш веб-сайт был взломан. Известно, что вредоносное ПО проникает с компьютера зараженного пользователя через текстовые редакторы и FTP-клиенты.
Вы должны удалить все неиспользуемые программы с вашего компьютера. Этот шаг важен, потому что эти программы также могут иметь проблемы с конфиденциальностью, как и неиспользуемые плагины и темы на вашем веб-сайте.
Если что-то не установлено, это не может стать вектором атаки для заражения вашей машины, особенно расширения браузера. У них есть полный доступ к веб-сайтам, когда веб-мастера вошли в свои интерфейсы администратора. Чем меньше вы установили на свой компьютер, тем лучше.
Если вы не уверены в назначении конкретного приложения, проведите небольшое исследование в Интернете, чтобы убедиться, что оно необходимо или что-то, что вы можете удалить. Если вы не собираетесь его использовать, удалите его.
12. Используйте брандмауэр веб-сайта — использование только SSL-сертификатов недостаточно для предотвращения доступа злоумышленника к конфиденциальной информации. Уязвимость в вашем веб-приложении может позволить злоумышленнику перехватывать трафик, отправлять посетителей на поддельные веб-сайты, отображать ложную информацию, удерживать веб-сайт в заложниках (программа-вымогатель) или стирать все его данные.
Даже с полностью исправленным приложением злоумышленник также может атаковать ваш сервер или сеть, используя DDoS-атаки, чтобы замедлить работу веб-сайта или отключить его. Брандмауэр веб-приложений (WAF) предназначен для предотвращения таких атак на веб-сайты и позволяет вам сосредоточиться на своем бизнесе.
Дополнительные меры без-ти веб-сайта
Чтобы защитить свои веб-сайты и сделать Интернет более безопасным, используйте эти бесплатные ресурсы и инструменты.
1. Инструменты защиты веб-сайтов — Вот несколько бесплатных инструментов для обеспечения безопасности веб-сайтов:
1.1 SiteCheck — бесплатная проверка без-ти сайта и сканер вредоносных программ.
1.2 Sucuri Load Time Tester — проверьте и сравните скорость веб-сайта.
1.3 Sucuri WordPress Security Plugin — Аудит, сканер вредоносных программ и усиление безопасности для веб-сайтов WordPress.
1.4 Google Search Console — уведомления безопасности и инструменты для измерения поискового трафика и производительности веб-сайтов.
1.5 Инструменты Bing для веб -мастеров — диагностика поисковой системы и отчеты о безопасности.
1.6 Яндекс Вебмастер – Веб-поиск и уведомления о нарушениях безопасности.
1.6 Unmaskparasites — проверка страниц на наличие скрытого незаконного контента.
1.7 Best WAF — сравнение лучших брандмауэров для облачных веб-приложений.
2. Дополнительные ресурсы — вот некоторые образовательные ресурсы по безопасности веб-сайтов:
2.2 Sucuri Labs — исследование угроз, база данных сигнатур вредоносных программ и статистика.
2.3 OWASP — открытый проект безопасности веб-приложений.
2.4 Контрольный список требований соответствия PCI — Контрольный список требований соответствия PCI.
2.5 Институт SANS — обучение, сертификация и исследования в области информационной безопасности.
2.6 NIST – Национальный институт стандартов и технологий.
Часто задаваемые вопросы о безопасности веб-сайта
Почему важна безопасность сайта?
Безопасность веб-сайта жизненно важна для поддержания веб-сайта в сети и безопасности для посетителей. Без должного внимания к безопасности веб-сайта хакеры могут использовать ваш веб-сайт, отключить его и повлиять на ваше присутствие в Интернете. Последствия взлома веб-сайта могут включать финансовые потери, проблемы с репутацией бренда и низкий рейтинг в поисковых системах.
Каковы риски безопасности для веб-сайта?
Основные риски безопасности веб-сайта включают в себя: уязвимый код, плохой контроль доступа и использование ресурсов сервера. Например, DDoS-атаки могут сделать сайт недоступным для посетителей за считанные минуты. Есть много причин, по которым сайты взламывают ; слабый пароль или устаревший плагин могут привести к взлому сайта.
Что делает сайт безопасным?
На защищенном веб-сайте активирован брандмауэр веб-приложений для предотвращения атак и взломов. Он также следует передовым методам обеспечения безопасности веб-сайтов и не имеет проблем с конфигурацией или известных уязвимостей. Вы можете использовать SiteCheck , чтобы узнать, есть ли на веб-сайте брандмауэр, какие-либо аномалии безопасности, вредоносное ПО или находится ли он в черном списке. SiteCheck, чтобы узнать, есть ли на веб-сайте брандмауэр, какие-либо аномалии безопасности, вредоносное ПО или он находится в черном списке.
Нужна ли мне безопасность для моего сайта?
Да, конечно. Безопасность веб -сайта не включена в большинство пакетов веб-хостинга. Ответственность за безопасность веб-сайта лежит на владельце веб-сайта. Безопасность должна быть одним из первых соображений при настройке веб-сайта и постоянного процесса проверки. Если веб-сайт не является безопасным, он может стать легкой добычей для киберпреступников.
Как сделать мой сайт безопасным?
Вы можете защитить свой веб-сайт, следуя передовым методам обеспечения безопасности веб-сайта , например:
- Используйте брандмауэр веб-сайта.
- Всегда используйте последнюю версию CMS сайта, плагинов, тем и сторонних сервисов.
- Поддерживайте и применяйте надежные пароли.
- Предоставляйте только тот тип доступа, который необходим кому-то для выполнения задачи.
- Установите инструменты сканирования и мониторинга, чтобы обеспечить целостность вашего сайта.
- Установите SSL-сертификаты для шифрования данных.
- Сохраняйте резервные копии веб-сайтов.
С этой статьей читают:
Спасибо, что читаешь: SEO HELPER | NICOLA.TOP
Масса решений по обеспечению безопасности и защиты сайта от взлома и угроз. У вас прям две категории по этой теме. Не думал, что она на столько большая. Спасибо за подробные материалы.