Безопасность сайта, политика антикризисных мер для сайта

729deed97b0fde17a9b1d4e7f23e410c
Не приятно об этом писать. Но в мире не все люди желают другим добра.
Среди нас живут человеческие существа, которые совершают гадости. Их мотивация делиться на три типа:

  1. из принципа. Правда, принципиальных злодеев в мире не много, они чаще встречаются в мультфильмах чем в жизни
  2. ради развлечения, гордости, мести. То есть, руководствуясь эмоциями. Это хулиганящие школьники, или даже шалящие взрослые, которые остались школьниками внутри
  3. ради денег. А вот это — индустрия. Люди, которые в ней работают обычные, за исключением одного факта: для них уничтожить чужой многолетний труд, инвестиции и старания — это только бизнес. Они не моргнув глазом портят миллионы сайтов, наносят ущерб бизнесам и частным лицам с целью получения выгоды

Как пакостят сайту:

  1. Заражают вирусом (запускают программу, которая портит сайт изнутри, достигая своих целей)
  2. Взламывают и используют для достижения своих целей. При этом тоже портят его
  3. Лишают сайт работоспособности с помощью ddos-атаки или подобного способа

Заражение сайта вирусом

39ac72e51a8a
Сайт, компьютер и хостингом часто заражаются вместе. Если вирус есть на компьютере, с которого Вы работаете с сайтом, то он будет и на сайте. Если заразили хостинг, то будет заражён и сайт. И так далее.

Согласитесь, что предохраняться и бороться с заражением надо везде:

  • Обезопасить сайт, как это сделать я опишу ниже
  • Установить на компьютер антивирус.
  • Установить FareWall (иногда он в комплекте антивируса).
  • Использовать надёжный хостинг

Только закрыв дыры Вы обезопасите сайт… отчасти. Чтобы Ваша безопасность повысить степень надёжности, Вам потребуется политика действий на случай взлома или заражения. Об этом мы также поговорим ниже.

В принципе у взломов и заражений 3 цели:

1. Использование ресурсов для целей «электронных бандитов»

  • Использование ресурсов сайта. На сайте размещают ссылки для продвижения неизвестных Вам, чаще неблагонадежных ресурсов. Вы не понимаете, почему сайт стремительно падает в поиске и теряет заказы. С него стоит несколько сотен ссылок на порноресурсы
  • Использование ресурсов сервера (на котором лежит сайт)
  • или компьютера для spam-рассылок. Тогда Вы не понимаете, почему Ваши письма перестали доходить до адресатов. Ваш адрес почты или даже почтовый сервер попал в черный список почтовых служб
  • Использование ресурсов сервера или компьютера для DDOS-атак на другие сайты. В данном случае сильно падает производительность. Сайт или компьютер медленно работают, часто виснут, тормозят.

Пример из опыта. Один наш хороший клиент по неопытности сэкономил на продвижении сайта и заказал спам-рассылку. Экономический эффект рассылки я не знаю. Но знаю, что оказалось побочным эффектом. На сайте была настроена система оповещения клиентов по e-mail о регистрации. После рассылки мы поняли, что сайт не доставляет сообщения на почтовые ящики mail.ru. Пока мы разбирались, перестали доставляться сообщения на почтовые ящики gmail и yandex.
В этот же день мы выяснили, что наш сервер и название сайта попали в черный список почтовых сервисов.
На следующий день наш немецкий хостиг начал сильно нас ругать. На тот момент мы чуть не потеряли партнера по хостингу, а клиент чуть не потерял название сайта (оно было в черных списках, им пользоваться было нельзя), а это потребовало бы переработки фирменного стиля вслед за сменой названия.
К счастью, через 2 недели санкции сняли, сервер и название сайта исключили из black-листов. Но наука осталась — не повторяйте таких же ошибок. То же будет, если от имени Вашего сервера рассылают спам взломавшие Вас бандиты.

2. Блокирование работы сайта или компрометация

Часто сайт взламывают или совершают на него DDOS-атаку с целью скомпрометировать владельца сайта или блокировать его работу. Это уже относиться к нечестной и нездоровой конкуренции. В такой ситуации безопасность сайта — это борьба бюджетов. Если у атакующих больше денег и лучше команда, то они сломают сайт и нанесут урон. А если команда лучше и денег больше у обороняющейся стороны, то сайт смогут защитить.
Если в двух словах, то сломать можно все, были бы ресурсы.

3. Кража платежных данных

Это неприятный момент.
Сюда же включим ситуации, когда непосредственно платежные данные не крадут, но крадут доступы от аккаунта Skype или ICQ. А потом списку друзей пишет робот с просьбой перевести в долг на электронные деньги 5-10-15 тыс. руб. Я попадался на эту штуку. Когда пропадают деньги с пластиковых карт или электронных кошельков — это плохо.

Как избежать взлома и заражения

Заражение и взлом возможны по трем фронтам: сайт, компьютер и хостинг. Я не буду писать здесь о безопасности компьютера, этому посвящено много книг и сайтов. Перейдём сразу ближе к нашей теме.

Безопасность сайта

Чтобы свести к минимуму возможность заражения или взлома сайта соблюдайте 3 правила.

Правило No1.Используйте популярные cms-системы. Чем больше людей ими пользуются, тем быстрее обнаруживаются уязвимости, и тем быстрее они закрываются разработчиками.

Конечно для этого правила есть оговорка, которую я назвал бы «антиправило»:

Антиправило No1.Используйте самописные, уникальные решения. К ним у хакеров нет готовых ключей, при условии, что разработчики грамотны и не оставили дыр в безопасности.

Правило No2.
Используйте сложные пароли из букв, цифр и других знаков длинной в 12 символов. Тут чистая математика. Для взлома пароля существует безотказный метод, который получил название brute force [брутфорс] — грубая сила, или иначе метод полного перебора.

Пароль длиной 4 символа методом перебора взламывается за 17 секунд, независимо от сложности символов. Пароль длиной 6 символов взламывается за 6 часов. Не переживайте, у робота есть 6 часов — он работает круглосуточно! Пароль из 12 символов взламывается полным перебором за 1 505 615 лет.

Запомнить такие пароли сложно, каждый раз записывать на бумажке — мучительно. Поэтому умные ребята заделали специальные менеджеры паролей. Среди них я лично (и все в нашей компании) пользовались KeePass, скачать можно тут.

Правило No3.
Своевременно обновляйте плагины и движок сайта. Уязвимости в ядре движков и плагинов находят постоянно, и разработчики обновляют плагины и движок, закрывая эти уязвимости при обнаружении.

Если Вы не обновили движок своевременно, то Вы обладатель сайта с дырой, которая уже известна всем хулиганам в округе — ведь эту уязвимость при публикации обнародовали. В этот момент к уязвимому месту Вашего сайта строиться очередь из недоброжелателей.

Правило No4.
Не пользуйтесь бесплатными темами и шаблонами.

Бесплатные темы часто делаются сразу с «подарком». Этакий «троянский конь», Вы его приняли как бесплатный подарок, а подарок с сюрпризом. Избегайте таких сюрпризов.

Правило No5.
Обращайтесь к специалистам по безопасности, изучайте данные по безопасности.

У всех CMS-систем есть узкие места — узнайте про них, закройте их самостоятельно или с помощью специалистов.

Безопасность хостинга

Часто заражение сайта происходи через зараженный хостинг. Тут возможны всего два варианта развития событий:

  • Взламывают пароли ftp, ssh, mysql — избежать этого можно делая пароли длиной 12 символов из букв, цифр, других знаков и хранить их в специальном менеджере паролей
  • Взламывают аккаунты хостинга или сайты Ваших соседей по хостингу — с этим Вы ничего поделать не сможете. Разве что можно переехать с хостинга на VPS (VDS), там соседей нет. Хотя случается, что сайт живет на хостинге и не подвергается заражению со стороны хостинга.

Антикризисная политика, или что делать если…

krizЕсли Ваш сайт уже заражен или уже удален, или уже безвозвратно сломан чаще всего не понятно, что же делать и куда бежать. Часть системы безопасности сайта — это продуманная политика действий на случай сложных ситуаций. Так как большинство этих ситуаций предсказуемы, то и продумать антикризисную политику возможно.

Это обязательно делают заранее, а не тогда, когда «шеф, фсё пропало!».

Пример из жизни. У моего друга есть городской новостной портал. Все сми в городе сильно политизированны, а он единственный был в стороне от политики. Но видимо удержаться полностью не удалось… кому-то все же перешли дорогу. У них был собственный VPS, вроди бы защищенный, у достойного хостера. Но для профессионалов это не было преградой. Вредители удалили не только весь сайт, но так же и все бэкапы сайта (сохраненные резервные копии сайта, которые делались каждый день и хранились архивом за месяц). Хотя бэкапы были в отдельной директории сервера и их еще нужно было найти чтобы удалить. Справились, нашли и удалили. Восстановить сайт было бы вообще невозможно, если бы мой друг в целях предосторожности раз в две недели не копировал бы  весь сайт себе на компьютер — это и спасло портал, который стоил огромных вложенных сил и средств. Новости за пару недель потеряли, но сайт спасли.

Антикризисная памятка

Краткий список пунктов, которые нужно обязательно предусмотреть.

Бэкапы сайта

Копировать сайт себе на компьютер — это тоже одна из антикризисных мер, это немного по-дедовски, но работает. Более совершенный и современный способ обезопаситься — это бэкапить сайт на внешний ресурс. Но если у Вас нет ужасных недоброжелателей, то возможно Вам будет достаточно делать как мой друг: настроить ежедневные бэкапы на сервере (если у Вас хостинг, то узнать как делают бэкапы они где и сколько времени они их хранят), и копировать сайт себе на компьютер раз в 2 недели. Чтобы не платить ежемесячно за внешний бэкап. Однако если Ваш сайт является основным каналом Вашего бизнеса, то стоит отнестись к ежедневным бэкапам сайта на внешний сервис очень серьезно!

И конечно Вы должны хорошо понимать алгоритм действий при восстановлении сайта из бэкапа. Кто это делает, в каком порядке, как много времени это займет? Хостер обычно делает это по запросу в службу поддержки в течении суток. Если Вы бэкапите к себе на компьютер, сможете ли Вы восстановить сайт самостоятельно? Или прийдется прибегать к услугам специалистов?

Лучше решить эти вопросы заранее, может быть даже провести тестовое восстановление для понимания слабых звеньев процесса. Особенно важно быстрое восстановления сайта из бэкапа, когда на сайт завязан Ваш бизнес и простой сайта оборачивается для Вас потерей денег или даже значения и влияния на рынке.

Мониторинг работы сайта

Для этого наша студия использует сервис PingDom. Очень удобное решение, сервис имеет приложения для Android и iOS, в который оповещает Вас о проблемах вдоступности или в скорости работы сайта. Благодаря ему Вы отреагируете на проблему моментально! Только еще началась DDOS-атака, или только упал сайт — Вы уже знаете об этом и готовы принимать меры защиты и устранения. Кроме того PingDom расскажет Вам о том какова была общая доступность ресурса в течении месяца, года. На основании этого Вы сможете сделать выводы о качестве Вашего хостинга, часто ли бывают перебои, каков общий процент доступности сайта и прочее.

Защита от DDOS-атак

Для защиты от DDOS есть достаточно много решений. Конкретно мы пользуемся сервисом CloudFlare. Удовольствие это, надо отметить, не дешевое. У сервиса есть недорогие базовые тарифы, на них конечно полноценной защиты от DDOS нет, но есть некоторые меры, которые точно отфильтруют большую часть несерьезных хулиганов и сегментируют проблему. Базовый тариф стоит $20, если случались проблемы или даже их не было — начните с него (можете даже начать с бесплатного тарифа, он тоже предусмотрен!).

Перейти на более дорогой и защищенный тариф никогда не поздно!

obdumal

Памятка при взломе или заражении сайта

А теперь важно написать памятку, алгоритм действий при взломе или заражении сайта. Такие обычно пишутся «кровью», давайте в Вашем случае это будет не так.
Наша памятка выглядит примерно так:

  1. Меняем все пароли на электронную почту
  2. Меняем пароли на FTP (SSH), MySQL, админку сайта.
  3. Восстанавливаемся до предположительно не зараженного (не взломанного) бэкапа.
  4. Проверяем серверным антивирусом.
  5. Изучаем логи доступа — чтобы исключить и предотвратить проблему в будущем.

Памятка если падает сайт

  1. Выясняем, есть ли проблема на стороне хостера. Если есть, узнаем когда они ее решат, если нет:
  2. Выясняем какие последние обновления делали разработчики. Если обновлений не было — перезапускаем модули сайта на сервере, бывает, что они звисают. Если обновления были — откатываемся на более раннюю версию и тестируем работоспособность.
  3. Если ничего не помогает, восстанавливаем последнюю рабочую версию из бэкапа.
  4. Изучаем логи.

Памятка при DDOS-атаке

  1. Звоним хостеру выяснить почему упал сайт, они сообщают нам о DDOS-атаке.
  2. Включаем мигалку и расширенную защиту в CloudFlare.
  3. Думаем: кому насолили?
  4. Принимаем решение о постоянной расширенной защите или переезде на другой сервер с включенной защитой.

И так далее. Алгоритмы антикризисных мер нужны на все случаи жизни. Конечно, лучше бы этого не случалось, но если Вы везде подстелили соломки, то проще жить и работать, ведь падать помягче будет.

Успехов и безопасности!

Поделитеся этой записью!