1. Переконайтеся, що у вас є всі паролі від сайту і змініть їх. Змінюйте паролі регулярно.
2. Перевірте наявність договору на ліцензію CMS, актуальність версії CMS, актуальність і безпеку встановлених...
3. Дізнайтеся, на якому хостингу буде розміщений сайт.
4. Перевірте належність домену вам і термін закінчення його реєстрації.
5. Перевіряйте сайт сервісом онлайн-моніторингу безпеки.
6. Уточніть, де зберігається резервна копія сайту, з якої можна буде відновити його в разі непередбачених...

Власник компанії і директор з маркетингу роблять великі ставки на комерційний сайт, вкладаючи сотні тисяч рублів в розробку і дизайн. Але при цьому не приділяють належної уваги безпеці інтернет-ресурсу.

Вони цілком покладаються на веб-студію, хоча в її обов'язки в більшості випадків не входить робота по захисту сайту від вірусів, пошуку та усунення дірок, регулярній зміні паролів. Або на хостинг-провайдера, у якого просто немає ресурсів на підтримку користувача в складних випадках, які пов'язані з вірусами і проблемами безпеки.

Підсумок - заражений сайт блокується провайдером, а у студії немає резервної копії для відновлення чи ні експертизи для усунення дірок і захисту від вірусів. Про все це необхідно подбати самому замовнику.

В процесі створення і підтримки сайту можна несвідомо чи випадково допустити помилки, що ведуть до порушення його безпеки і несподіваних проблем. Наприклад, хтось міг оновлювати сайт з зараженого комп'ютера, розмістити сайт на небезпечному сервері, передавати паролі третім особам або зберігати їх у відкритому вигляді, зареєструвати домен і хостинг на себе, не зробити під час резервну копію.

На жаль, такі помилки або неуважність до цих питань замовника сайту небезпечні. Вони можуть призвести до блокування сайту, втрати трафіку або крадіжці заявок, наприклад, якщо з сайту розсилається спам, трафік переводять на ресурси «для дорослих», а на сторінках розміщуються «ліві» посилання для чийогось заробітку.

Представляємо пам'ятку керівнику під час прийому сайту у виконавця - веб-студії або фрілансера. Вона містить рекомендації з перевірки, чи забезпечується самий базовий рівень захисту сайту від загроз безпеки, таких як зломи і зараження, які допоможуть уникнути проблем з безпекою в майбутньому.

Що потрібно перевірити і зробити на сайті, перш ніж підписувати акт виконаних робіт і запускати проект у життя, вкладаючись в його просування:

WORKSPACE допоможе вибрати оптимального виконавця. База проекту налічує більше 10 500 агентств . Сервіс БЕЗКОШТОВНИЙ для замовників.

Переконайтеся, що у вас є всі паролі від сайту і змініть їх. Змінюйте паролі регулярно.

Які паролі і доступи у вас повинні бути на руках:

- доступ до управління доменом (оплата і продовження його реєстрації, перевірте що домен зареєстрований на вас або вашу фірму!)

- доступ до особистого кабінету хостингу, де розміщений сайт (оплата хостингу)

- буває що у хостинг провайдера також є панель управління хостингом (найнеобхідніші настройки для працездатності сайту) - у вас повинен бути доступ

- доступ до сайту на хостингу (зазвичай це «FTP», але краще SSH - про це поговоримо в іншій статті)

- доступ в панель управління сайтом ( «админка» для оновлення сайту)

- буває ще доступ до бази даних, але швидше за все він вам особисто не знадобиться і його можна отримати через панель управління хостингом

Всі доступи, де ви користуєтеся своєю адресою електронної пошти, повинні бути оформлені на вашу електронну адресу. Інакше їх може отримати і поміняти хтось інший, і ви втратите контроль за сайтом, а якщо вони вам терміново знадобляться і та людина недоступний, то ви не зможете швидко вирішити проблему (продовжити оплату і запобігти вимикання сайту, наприклад)

За результатами дослідження американської компанії Trustwave, яка дбає про безпеку більше 3 мільйонів клієнтів в 96 країнах, і в Росії відома в першу чергу своїми SSL сертифікатами для захисту сайтів, понад чверть інцидентів, пов'язаних з безпекою, відбулися в результаті поганої роботи з паролями: передача третім особам, слабкі паролі, збереження паролів в загальнодоступних місцях і т.д. Важливо, що регулярне оновлення паролів і зберігання їх в надійному місці може запобігти 25% заражень сайту.

Під час опитування , Проведеного серед російських веб-розробників спільно Ruward і компанією SiteSecure, тільки чверть всіх опитаних підтвердили, що використовують спеціальні правила для створення складних паролів і їх регулярної зміни. Тому ви самі як власник веб-сайту повинні подбати про безпеку.

До чого може привести неуважне ставлення до паролів?

Якщо не відбулося найгіршого і сайт перестав працювати, а ви не можете швидко відновити його, то брак уваги до паролів перш за все, призводить до розмиття відповідальності. Якщо один пароль був в декількох руках - то як знайти того, з причини чиїх дій з сайтом щось трапилося? (Звичайно, можна провести розслідування і подивитися в журнали доступу, знайти IP-адреси, але по-перше потрібні журнали не завжди є, а по-друге це зажадає більше часу і кваліфікації)

Той, хто мав доступ до паролю в разі потреби або випадково, міг ненавмисно порушити його безпеку - записати в доступному місці, зберегти пароль на зараженому вірусом комп'ютері, а міг і навмисно використовувати для подальшого заробітку на сайті - розміщення посилань, розсилки спаму, перенаправлення трафіку відвідувачів або заявок клієнтів. Якщо пароль передавався третім особам або зберігався у відкритому вигляді в загальнодоступному місці, їм міг заволодіти зловмисник. Це означає, що ваш сайт буде втрачати трафік, а може і перестати вам належати зовсім.

Якщо пароль «слабкий» (наприклад 123site), він ризикує бути зламаним через брут-форс-атаку, коли пароль підбирається програмою або навіть людиною.

Паролі повинні бути складними і довгими, містити комбінацію цифр, букв і знаків. Про те як ви зможете самостійно протистояти брут-форс атакам і додатково захистити сайт простими методами ми розповімо в окремій статті.

Змінюйте паролі кожен квартал (а краще місяць), а також кожного разу після звільнення працівника, який мав доступ до сайту, після роботи зі стороннім підрядником. Часта зміна паролів мінімізує ризик зараження через передачу пароля третім особам або злом через брут-форс-атаку. Але не міняйте паролі занадто часто. В кінцевому підсумку призводить до установки простих паролів, які хакери можуть легко скомпрометувати: www.securitylab.ru/news/484579.php .

Після завершення робіт над сайтом сторонніх виконавців змініть паролі у використовувалися для роботи облікових записів: від хостинг панелей і панелей управління, FTP, SSH, «адмінки» системи управління сайтом - CMS.

З паролями облікових записів тісто пов'язані права доступу. Можна зайти на сайт з доступом тільки для зміни певних файлів, а можна з повним доступом, що загрожує масштабною втратою або пошкодженням сайту в результаті помилки. Тому потрібно подбати про те, щоб налаштувати правильні права акаунтів (дайте кожному мінімально необхідні для роботи допустимі права). Залишити тільки мінімально необхідний набір. Про це ми ще розповімо докладніше.

Перевірте наявність договору на ліцензію CMS, актуальність версії CMS, актуальність і безпеку встановлених модулів.

Якщо ви використовуєте комерційну CMS, то у вас повинен бути договір на придбання ліцензії, укладений від вашого імені.

Згідно з угодою, CMS завжди повинна бути оновлена ​​до останньої версії (перевірити версію і необхідність оновлення можна в адміністративній панелі CMS або через спеціальний сервіс перевірки безпеки сайту).

Багато хто вважає, що достатньо 1 раз купити CMS, але не платити за оновлення. Це велика помилка. Хакери постійно сканують CMS на уразливості. Як тільки вони знаходять слабке місце, починають зараження сайту. Чим популярніша CMS, тим більше вона приваблива для хакерів, яким важливо охопить атакою найбільше число сайтів і їх відвідувачів. Творці CMS також дізнаються про такий баг і «закривають» його в оновленій версії. Якщо відновлення не встановити, то висока ймовірність зараження через знайдений баг. При цьому популярний сьогодні недорогий метод лікування сайту без поновлення CMS і її додаткового захисту буде всього лише півзаходом. Хакери ведуть спеціальні списки вразливих сайтів і обмінюються ними щоб проводити всі нові атаки на сайти, в яких є дірки.

Турбота виробників CMS про безпеку має і зворотну сторону в тому випадку, якщо ви не приділяєте уваги оновлень. Так, нещодавно в CMS Joomla були виправлені баги в безпеки (можливість створювати користувачів з розширеними правами), які сприяли злому сайтів і Joomla попросила користувачів оновитися до нової версії. Хакери скористалися цим і більшість сайтів, які за 36 годин після повідомлення не встигли оновити CMS, були атаковані і зламані.

Через уразливості CMS і модулів до них найчастіше відбувається:

• завантаження бекдор і веб-Шелл (через форми завантаження зображень, файлів, отримання доступу до адмінки, через редактор шаблонів або установку свого компонента; завантаження файлів через базу даних), через які сайт заблокує хостинг-провайдер.

• впровадження вірусів (впровадження шкідливого коду або посилань на заражені сайти, а також пошукового спаму, який швидко затягне вниз ваші позиції в пошукових системах)

• додавання / видалення адміністратора через SQL ін'єкції, крадіжка адміністративного доступу через атаки на уразливості такі як XSS)

Так хакери отримують доступ до сайту і використовують його для крадіжки вашого трафіку і власного заробітку.

Часто для економії коштів використовуються безкоштовними версіями модулів, що розширюють функціонал сайту. Але безкоштовний сир буває тільки в мишоловці. Такий модуль може критичні уразливості, що відкривають дорогу хакерам на ваш сайт, або зовсім мати вже вбудований шкідливий код, який поступово передасть ваш сайт в руки зловмисників.

Тому переконайтеся в наступному:

- права на використання CMS і технічну підтримку оформлені на вас або вашу компанію за договором ліцензування (якщо ви використовуєте комерційну CMS, а не розробку з відкритим кодом типу Joomla, WordPress)

- рахунок за ліцензію оплачений і включає підписку на оновлення,

- версія CMS актуальна,

- зовнішні модулі вимоги щодо ліцензування та пройшли перевірку безпеки,

- e-mail, контактні дані адміністратора сайту в CMS збігаються з вашими.

В цілому ж проблема спостереження за безпекою сайту включає набагато більше аспектів, ніж просто регулярне перевірки версії CMS і відсутність дірок і вразливостей в модулях.

Дізнайтеся, на якому хостингу буде розміщений сайт.

Навіть якщо з CMS, модулями і паролями все в порядку, сайт може легко опинитися під загрозою. І заразити його наприклад можуть сусідні сайти на хостинг-акаунті. На такому небезпечному хостингу 5-6 сайтів надійно захищені, а поруч лежить всього один сайт - «дірявий» блог на Joomla або сайт-одностранічнік на WordPress. Можливо і зараження через залишений без нагляду тестовий сайт на «технічному» домені, який використовувався тільки під час створення сайту і CMS на якому давно не оновлюється. Якщо сайти не ізольовані один від одного, то вірус може перейти зі зламаного сайту на «здоровий» через зміну файлів. Іншими словами, зараження одного сайту призводить до зараження всього доступного для зловмисника хостингу. Деякі надійні хостинг-провайдери вже вживають заходів для запобігання таких заражень, але роблять це далеко не все.

Часто послуги розміщення сайтів за невелику плату пропонують непрофесіонали. Вони здають в суборенду невеликі простору диска великого сервера або пропонують розміщення на своєму «домашньому» сервері. Здебільшого такі фахівці не дбають про безпеку даних, не роблять резервних копій, які не оновлюють ПЗ, не перевіряють сайти, які приходять до них на розміщення. В результаті «доморощені хостинги» виявляються в поле зору хакерів і піддаються атаці. Лікування сайту, заражене на такому хостингу, марно без лікування інших розміщених там сайтів, а якщо їх багато - це стає затратно і поступово такі хостинги перетворюються в «смітника» заражених і небезпечних сайтів, опинитися поруч з якими вашому сайту буде шкідливо і небезпечно.

Щоб уникнути зараження через хостера, перевірте:

- яка компанія надає вам послуги хостингу,

- в якій країні розташовані сервери (статистика атак і заражень по країнам сильно відрізняється, а Росія на жаль в світових лідерах за кількістю заражень - згідно зі статистикою Лабораторії Касперського і Microsoft),

- сервера у хостера власні або орендовані,

- чи є у вас договір з хостером, де прописана відповідальність за надання послуг, зокрема відповідальність за безпеку сайту і його захист від вірусів.

Якщо є можливість вибору, розміщуйтесь на хостингу у приватних осіб або невеликих компаній, які працюють неофіційно. Вибирайте хостинг-провайдера з тривалою історією, великою кількістю клієнтів і надійним захистом. Такий провайдер, як правило, має спеціалізований штат співробітників з безпеки або користується послугами безпеки на основі аутсорсингу, співпрацюючи з відомими фахівцями із захисту сайтів.

Якщо хостинг надійний і офіційний, то перевірте, що контактний телефон та адміністративний e-mail, вказаний при реєстрації хостинг-акаунта, належить вам. Перевірте паролі актуальність доступів до хостингу. Без них відновити доступи буде досить складно. Можливо, у вас записані старі (не актуальне) доступи. Відновіть їх за допомогою технічної підтримки хостингу і збережіть в надійному місці. Вони можуть знадобитися в будь-який момент.

Перевірте належність домену вам і термін закінчення його реєстрації.

Часто при створенні сайтів вперше компанія доручає розробнику всі нюанси включаючи придбання домену. Для простоти і прискорення реєстрації підрядник реєструє доменне на себе, а компанії передає рахунку на оплату.

У цій ситуації компанія знаходиться в заручниках у справжнього власника домену. Якщо той вирішить залишити за собою ім'я або просто пропаде, компанія втратить сайту.

Щоб цього уникнути, зареєструйте домен на себе. Якщо домен вже належить комусь іншому, то не відкладаючи перереєструйте його на своє юрособа. Якщо домен був колись і кимось зареєстрований, то перевірте, кому він належить і оплачено чи володіння ним, до якого терміну.

Перевірити приналежність домена можна на: www.whois-service.ru , www.reg.ru/whois

Не забудьте вчасно оплачувати продовження реєстрації, так як в день закінчення реєстрації сайт перестає бути доступний, а через 30 днів ваше ім'я сайту може бути зареєстровано будь-яким бажаючим.

Перевіряйте сайт сервісом онлайн-моніторингу безпеки.

Безпека сайту складається з великого числа параметрів. Вище ми розглянули лише кілька з них, але саме ті, з яких варто почати в першу чергу. За деякими параметрами типу терміну реєстрації доменного імені, можна стежити раз на рік, за іншими - такими як поновлення CMS, трохи частіше. Але за більшістю параметрів потрібен регулярні контроль, практично на щоденній основі.

Справжня проблема в тому, що зовні ми не завжди можемо зрозуміти, чи заражений сайт, чи має він вже реальні проблеми з безпекою, або тільки ризики їх виникнення, і якщо так, то наскільки вони великі.

Приховані проблеми, які вже є на вашому сайті, представляють максимальну небезпеку. Наприклад, шкідливий скрипт може редирект тільки мобільний трафік. Сайт можуть блокувати окремі антивіруси або браузери. З вашого хостингу може йти спам-розсилка, про яку ви навіть не знаєте.

Є і зовнішні ознаки, які ви можете відстежити спеціальними інструментами, наприклад, повільне завантаження, високе споживання ресурсів хостингу. Джерелами інформації про проблеми можуть бути також повідомлення від Яндекс і Google, скарги клієнтів або хостинг-провайдера.

Частина інформації вам буде доступна без будь-яких ускладнень, а щоб зібрати решту потрібно реєструватися в різних сервісах, налаштовувати їх і іноді навіть оплачувати підписку.

Але краще, якщо ви знайдете проблеми до того, як їх знайдуть інші, особливо якщо в результаті ваш сайт втратить позиції в пошукових системах, потік відвідувачів зменшиться і доведеться виводити сайт з блокувань пошуковими системами або вирішувати проблему з хостинг провайдером, який відключив сайт за спам або наявність на ньому вірусів.

Для того щоб спростити собі задачу контролю безпеки сайту, варто звернутися до онлайн-сервісу моніторингу, який перевірить інтернет-ресурс по максимальному числу параметрів (їх може бути кілька десятків) і повідомить про небезпеку, якщо вона є, а так само буде робити це за вас регулярно.

Уточніть, де зберігається резервна копія сайту, з якої можна буде відновити його в разі непередбачених обставин. Як часто створюється нова резервна копія, щоб вона була завжди актуальною.

Наявність резервної копії або «бекапа» сайту дозволить відновити його в будь-якій складній ситуації: якщо доменом заволоділи треті особи, якщо сайт був заражений і у всіх файлах «оселився» шкідливий скрипт, якщо сайт був заблокований, якщо доступи до хостингу втрачені або ваш сайт захопив і зашифрував зловмисник-шантажист (така загроза зараз різко набирає обертів).

Бекап повинен зберігатися в надійному місці, куди доступ мають тільки перевірені особи. Якщо вам незручно займатися резервним копіюванням самостійно, за домовленістю з розробником сайту можна залишити 1 версію сайту у нього на зберігання, але золоте правило говорить що потрібно мати дві копії, в різних місцях, причому одну з них в надійному «хмарі» типу Amazon або Microsoft , де збереження даних забезпечується багаторічною репутацією цих компаній.

Отже, що повинен перевірити власник сайту по завершенню робіт над сайтом і перед запуском його в активне просування:

1. Є договір зі студією, де розмежовано відповідальність за безпеку сайту, визначені регламенти доступу по логінів і паролів в разі укладення договору на супровід і підтримку сайту.

2. Є договір з хостинг-компанією, обліковий запис на ваше ім'я.

3. Договір на домен на ваше ім'я або вашу компанію, є обліковий запис для своєчасної оплати.

4. Не забули про оновлення паролів і розмежування прав доступу до сайту.

5. Перевірили наявність можливості регулярного резервного копіювання сайту і як відновити сайт оперативно в разі непередбаченої ситуації.

6. Отримали результати аналізу сайту сервісом онлайн-моніторингу безпеки та підключили такий сервіс для регулярної перевірки.

Незважаючи на всі запобіжні заходи, сайт не застрахований від атаки на 100%. «Пролом» в його обороні може з'явитися в будь-який момент. Наприклад, через зламаний хостинг або нову уразливість в CMS. Тому доцільно підключити сервіс постійного моніторингу захищеності свого інтернет-ресурсу, особливо якщо в його просування вкладаються чималі сили і засоби і ви очікуєте віддачі у вигляді потоку відвідувачів і виручки від продажів.

Хороший і зручний сервіс безпеки сайту не вимагає складної настройки або установки на ваш сайт додаткового коду, регулярно, а краще щодня перевіряє сайт по великій кількості параметрів, а також робить бекап. Але безумовно найважливіше людський фактор. В надійному сервісі безпеки в разі проблем система не тільки повідомляє про це власника, а й є своя команда експертів з безпеки, готова прийти на допомогу і оперативно усунути загрозу, проконсультувати і підібрати оптимальне рішення.

Матеріал підготовлений експертами по веб-безпеки SiteSecure

Довідка про компанію

SiteSecure - технологічний лідер в області захисту інтернет-сайтів від загроз і збоїв в роботі. Комплексний моніторинг і захист сайту від SiteSecure допомагають швидко знайти і надійно усунути небезпечні загрози, що ведуть до блокування сайту, зниження трафіку, повільної завантаженні і нестабільної роботи. Використовуючи SiteSecure ви надійно захищаєте свій сайт і інтернет-бізнес, запобігаючи зниженню відвідуваності, зменшення числа дзвінків, заявок, клієнтів і падіння продажів.

Компанія заснована в 2012 році і захищає вже більше 9000 інтернет-сайтів. На постійному моніторингу SiteSecure знаходиться понад 300.000 сайтів, що дозволяє швидше всіх реагувати на нові загрози і забезпечувати ефективні способи захисту вашого сайту.