Проверка сайта на уязвимости и защита от взлома

Взлом сайта угрожает множеством проблем — от утечки важных данных до серьезных финансовых потерь. Это особенно часто случается в тех случаях, когда владельцы или администраторы пренебрегают правилами безопасности, полагая, что сайт не будет взломан, так как он недостаточно известный и крупный, совершенно нельзя.

Хакерская атака может быть направлена как на корпоративный портал, так и на личный блог. Поэтому владельцам любого типа рAесурса важно понимать принципы обеспечения их безопасности.

В данной статье подробно рассмотрим, как можно защитить сайт от взлома, устранить его уязвимости и что делать, если его все же взломали.

Чем опасен взлом

Взлом влечет за собой много проблем для владельцев и администраторов ресурса. В таких случаях, речь идет не только об утере данных или попадания не в те руки платежных реквизитов.

Временно недоступный сайт может обрушить долгие усилия на поисковое продвижение. Хакеры способны пойти дальше и начать использовать ресурс в преступных целях — встроить вредоносный код на сайт для фишинга, разместить рекламу сомнительного содержания, рассылать спам и т.д. 

Последствия взлома

•   Потеря контроля над сайтом. Последствием может стать не только появление на вашем сайте подозрительного контента, за который он может попасть под фильтры поисковых систем. Получив логины и пароли учетных записей с правами администратора, хакеры способны полностью перекрыть доступ к панели управления для законных владельцев и потребовать выкуп за возвращение контроля над сайтом.
•   Захват пользовательских личных данных. Если речь идет исключительно о логине, пароле или переписке пользователей, то последствия не настолько страшны. Гораздо хуже, когда злоумышленникам в руки попадают платежные данные посетителей сайта.
•   Использование ресурсов сайта для спам-рассылки. Обычно хакеры отправляют с сайта серию писем, к которым прилагается вредоносный код, способный заразить ПК троянскими программами при их открытии. Чаще всего в подобных рассылках речь идет о денежном призе, предложении высокооплачиваемой должности или требование выплатить начисленный государством штраф, о котором пользователь по какой-то причине не знал или забыл.
•   Хостинг фишинговых страниц. Применяется для кражи реквизитов банковских карт пользователей с помощью имитации страниц различных популярных сервисов (соцсети, электронная коммерция, банковские службы). Фальшивая «фишинговая» страница, размещенная на взломанном сайте, почти не отличима от настоящей. Но, все финансовые данные, вводимые в нее при оплате, моментально попадают в руки злоумышленников.
•   Атаки на смежные ресурсы. Хакеры используют взломанные сайты для загрузки скриптов, позволяющих заражать другие ресурсы. Такие сайты также могут использоваться как прокси-сервера бот-нета в массированных DDoS-атаках.
•   Мобильные редиректы. Хакеры могут установить на сайте код, автоматически перенаправляющий пользователя на страницы с платными подписками. За наличие такого кода на ресурсе его могут заблокировать фильтры поисковых систем, пометив как источник «скрытой переадресации» или «агрессивной рекламы». 
•   Переход на зараженные страницы. Обычно подобные атаки настроены под уязвимость конкретной операционной системы или определенной версии ПО. Сначала на сайт загружается простой вирусный файл. Впоследствии пользователь скачивает этот файл и при его запуске устанавливаются вредоносные программы, заражающие все сопряженные устройства.
•   Потеря поисковых позиций. Редиректы, подозрительный контент, спам-рассылки не только снижают посещаемость ресурса, но и сводят к нулю все старания по его продвижению. Чтобы вернуть сайту прежние позиции требуется много финансовых и временных трудозатрат.

Причины уязвимости сайта

В вопросе защиты сайта не существует абсолютных решений. Поскольку речь всегда идет не только о технической стороне, но и человеческом факторе. Однако есть ряд уязвимостей, которые сильно повышают риск взлома и утечки информации, независимо от величины и профиля ресурса. Их устранение позволяет снизить вероятность хакерской атаки и обеспечить восстановление после взлома.

Не стоит забывать, что наличие уязвимостей на сайте может стать причиной последующего взлома веб-сервера и куда более серьезным последствиям. Нижеперечисленные моменты помогают снизить риск хакерской атаки для всех имеющихся ресурсов. 

Программное обеспечение из недостоверного источника

Одной из самых частых причин заражения сайта становится установка на него плагинов или модулей, скачанных с сомнительного ресурса. Все новые компоненты, добавляемые на сайт — от элементов дизайна до обновлений CMS нужно скачивать только с официальных источников или приравненных по статусу к таковым.

Например, для популярной CMS WordPress подобным источником является официальный репозиторий плагинов.

Устаревшее ПО

Регулярное обновление программного обеспечения — залог снижения риска взлома и утечки важной информации. Разработчики регулярно повышают безопасность своего ПО, и в то же время хакеры регулярно находят в нем уязвимости. Поэтому установка новых стабильных версий программ и их компонентов является крайне желательной.

Особенное внимание следует уделять программному обеспечению, отвечающему за управление сайтом (CMS). Обновлению необходимо подвергать все рабочие компоненты CMS — ядро, плагины, модули, темы, расширения. Вероятная сложность, за которой тоже нужно следить, чтобы не нарушить функциональность ресурса — несовместимость обновлений и ранее установленных компонентов.

Отсутствие SSL-сертификата

SSL-сертификат — это цифровая подпись, которая свидетельствует о том, что на сайт передает данные по безопасному протоколу шифрования HTTPS. Точно узнать, так ли это, можно, посмотрев на адресную строку браузера — рядом со ссылкой должен быть значок замка.

Сейчас на рынке представлено множество вариантов коммерческих и некоммерческих SSL-сертификатов, выпущенных доверенными центрами сертификации. Главные отличие платных и бесплатных вариантов — длительный срок действия, а также финансовая гарантия — возмещение ущерба пользователям при утечке данных.

Незашифрованные пароли

Все пароли ресурса должны храниться в зашифрованном виде. Лучше всего, если при этом будет использоваться алгоритм хеширования, например, алгоритм семейства SHA. Благодаря ему, при аутентификации пользователей проверяются только шифрованные данные.

Помимо шифрования, необходимо ввести на ресурсе обязательные требования к качеству паролей. В их числе — использование разного регистра и сочетания цифр и букв. Не помешает установка минимального количества символов. Нижняя допустимая планка качества начинается с 8 знаков, а надёжным считается пароль из 20 символов.

Как защитить ресурс от взлома

Помимо устранения уязвимостей сайта, которые могут возникнуть по причине неэффективного администрирования, существует несколько способов, позволяющих улучшить защиту ресурса. Ниже представлены основные варианты.

Защита административной панели

Обезопасить «штурвал» сайта от перехвата хакерами можно несколькими надежными методами. Применение каждого требует начального уровня знаний об администрировании веб-ресурса.

• Дополнительная аутентификация через Captcha. Самый популярный инструмент реализации данного способа защиты — Google Captcha (reCAPTCHA).
• При помощи ограничений доступа в файле .htaccess. Здесь защита сайта реализуется путем ограничения на доступ в административную панель только с определенных IP-адресов. Это будет выглядеть следующим образом:

Order deny,allow
Deny from all
Allow from 194.61.0.6

В данном примере «194.61.0.6» — произвольный IP-адрес, который нужно заменить на тот, с которого должен выполняться вход.

Это отличный вариант при входе в панель администратора со статических IP-адресов. Для динамических IP-адресов он подходит с некоторой оговоркой — прежде, чем задавать ограничение, нужно узнать диапазон их изменения у интернет-провайдера.

•  При помощи плагинов CMS, блокирующих доступ с IP-адреса при подозрении на взлом или требующих ввода дополнительного ключа при входе. Примеры — Lockdown WP Admin (WordPress), Limit Login Attempts (WordPress) и AdminExile (Joomla).

Запрет доступа к phpMyAdmin из адресной строки

Открытый доступ к панели phpMyAdmin напрямую из адресной строки браузера — верный путь нарваться на взлом, через автоматический перебор паролей (брутфорс). Запретить доступ самостоятельно достаточно сложно технически, поэтому рекомендуется обратиться с такой просьбой к техподдержке хостинговой компании.

Регулярное тестирование

1. Ручная проверка сайта на уязвимости и анализ всех ссылок выявляет внедрение вредоносного кода, сторонних ссылок или контента на сайте.
2. Подбор инструментов сканирования, выявляющих уязвимость в коде в автоматическом режиме. Существует довольно богатый выбор ПО с открытым кодом, которое используется для предварительного тестирования. Все подобные сканеры доступны для бесплатного скачивания или работают в онлайн-режиме.

Чем сканировать сайт на уязвимость

• AI-Bolit — универсальный сканер вредоносного ПО, который одинаково хорошо справляется с выявлением угроз на веб-сайтах и серверах. Подходит для ресурсов на Windows, Mac OS X и Unix/Linux. 
• Vega — сканер с графическим интерфейсом (GUI) на Java. Работает в ОС, основанных на Unix/Linux, Mac OS X и Windows. Успешно выявляет уязвимости к таким комплексным угрозам, как SQL-инъекции, «межсайтовый скриптинг» (XSS) и внедрение SQL-кода.
• ZAP (ZED Attack Proxy) — бесплатный инструмент, разработанный компанией OWASP для ресурсов на платформе Windows, Unix/Linux и Mac OS X. Работает как автоматический сканер или в качестве прокси для тестирования приложений вручную.
• Wapiti — оперативно сканирует приложения методом «черного ящика» (BlackBox), ориентированным на фронтэнд. Тестирование позволяет выяснить уязвимость внешних скриптов к таким угрозам, как инъекции баз данных (PHP/JSP/ASP SQL), «межсайтовый скриптинг» (XSS), CRLF-инъекции, XXE-атаки и SSRF-атаки.

Шифрование коммуникаций

Любая передача информации клиентам во избежание ее утечки должна передаваться через зашифрованный протокол HTTPS. Это касается всех важных сведений — от электронных писем до платежных карт и любых финансовых операций.

Проверка пользователей

Чтобы избежать авторизации или проведения финансовых операций третьими лицами, получившими доступ к логинам, паролям и платежным реквизитам, необходимо настроить систему подтверждения адреса и запроса проверочного кода подлинности для всех транзакций. Это исключит человеческий фактор и поможет поддержать безопасность сайта.

Поиск вирусов

Просканировать сайт на вирусы можно как вручную, с помощью специального ПО, так и онлайн — через удобные веб-инструменты, выдающие информацию по ссылке.

Сервисы для онлайн-проверки сайтов на вирусы

• Dr.Web.
• Kaspersky VirusDesk.
• Rescan.Pro.
• 2ip.

Резервное копирование

Создание резервной копии сайта или «бэкапа» — обязательный этап в администрировании любого ресурса, поскольку он предупреждает потерю любых данных и позволит восстановить сайт, если хакерская атака была успешной. Бэкап также пригодится, когда случайно или в результате программной ошибки удаляются важные файлы, нарушается целостность самого сайта (необратимые изменения в результате некомпетентности администратора или падения серверов).

В идеале резервное копирование сайта желательно делать еженедельно. При этом для надежности копия всегда загружается на локальный компьютер или сохраняется на внешний носитель — флеш-карту, жесткий диск и т.д.

Надежный хостинг-провайдер

При выборе хостинг-провайдера необходимо убедиться в его надежности, поскольку не каждая компания обеспечивает необходимый уровень безопасности. Хороший хостинг регулярно осуществляет резервное копирование, проводит мониторинг сети и обеспечивает круглосуточную пользовательскую техническую поддержку. Перед сменой хостинга лучше всего убедиться в том, что у нового хостинга есть сценарии реагирования на вероятные проблемы — взломы, DDoS-атаки и т.д.

Eternalhost — хостинг с реальной защитой от DDoS-атак. Круглосуточный мониторинг, оперативная бесплатная техподдержка пользователей.

Общие советы

•   Не используйте стандартные логины, например, admin. Его подбор тоже требует времени, поэтому взлом усложнится, если поменять его.
•   Для паролей и логинов нельзя использовать реальные имена и фамилии, любые публичные данные, так как их слишком просто узнать. Подойдите к этому моменту изобретательно. Придумайте или автоматически сгенерируйте такой пароль, который нельзя будет угадать, используя информацию о компании и сотрудниках из открытых источников.
•   Регулярно меняйте пароли. Идеальный вариант — не реже одного раза в месяц. Из-за уязвимости электронной почты, крайне желательно сразу сменить данные для авторизации, полученные письмом от хостинговой компании после заказа услуги.
•   Храните пароли и другие конфиденциальные данные в надежном месте. Желательно, чтобы хранилища были изолированы от постоянного доступа в сеть. Крайне ненадежными хранилищами являются браузеры, FTP клиенты и почтовые сервера.
•   Создайте резервную учетную запись администратора, чтобы, если понадобится, в любой момент получить доступ к панели управления сайтом и предотвратить последствия взлома.
•   Следите за пользовательскими правами. У пользователей сайта не должно быть возможностей администратора.
•   Удаляйте ненужные учетные записи, в том числе администраторов, которые более не работают с сайтом.
•   Не дублируйте пароли для разных систем и учетных записей. Придумывайте новые сложные комбинации для каждого профиля.
•   Пользуйтесь возможностями сервисов Яндекс.Вебмастер и инструментами Google (Search Console, Analytics и др.). Они позволяют своевременно узнать об угрозе, появившейся на ресурсе.

Что делать при взломе

Если взломали сайт, необходимо следовать четкой инструкции. Она включает в себя восстановление сайта из сохраненного бэкапа и некоторые дополнительные действия, позволяющие свести последствия к минимуму.

Признаки того, что сайт взломан

•   Сообщения о взломе в панели вебмастера, браузере или в письмах от пользователей. Например, в панели Google Search Console данное сообщение будет выводиться в отчете «Проблемы безопасности».
•   Снижение пользовательской активности на сайте. Если веб-проект существует уже достаточно давно и популярен среди пользователей, то резкое снижение посещаемости свидетельствуют о том, что он работает некорректно. Следует проверить доступность сайта со стороннего ПК.
•   Потеря позиций в поисковой выдаче. При качественной и регулярной работе над популярностью проекта его позиция в выдаче по релевантным поисковым запросам неуклонно повышается. Если же наблюдается спад, стоит проверить, не попал ли ресурс под действие фильтров, заблокировавших вредоносный контент, размещенный хакерами на одной из страниц на сайте. Избавиться от наложенных поисковыми системами санкций и вернуть позиции бывает довольно сложно. Облегчить задачу поможет официальный запрос о проверке сайта, который надо сделать уже после его полного восстановления.
•   Появление неизвестного контента, включая ссылки, статьи, картинки и прочее рекламное содержание. Если никто из администраторов или владельцев ресурса не добавлял контент, это значит, что третья сторона получила доступ к панели управления сайтом. 
•   Снижение качества работы ресурса. Это может быть, как слишком долгая загрузка, так и появление технических сообщений об ошибках на страницах сайта.

Восстановление сайта

Главное в случае взлома — скорость действий. При первых же признаках хакерской атаки необходимо следовать четкой инструкции. Благодаря этому можно не только сохранить и обезопасить данные в дальнейшем, но и восстановить нормальную работу ресурса.

Порядок действий

1. Убедитесь в том, что сайт действительно хакнули. Выше перечислены основные симптомы, которые могут свидетельствовать даже о незначительной утечке информации. Если за безопасность ресурса отвечает определенный исполнитель, необходимо сообщить ему о своих наблюдениях и подозрениях.
2. Закройте сайт на техническое обслуживание. Пока возможные последствия взлома для пользователей не выяснены, лучше временно приостановить работу ресурса.
3. Сделайте бэкап. Это позволит найти уязвимость позже, когда восстановление ресурса завершится.
4. Обратитесь к техподдержке хостинга. Его специалисты помогут восстановить нормальную  работу сайта, если будет обнаружен взлом.
5. Если необходимо, обратитесь к профессионалам для удаления вредоносного кода хакеров, которые те могли оставить, чтобы вернуться к восстановленному ресурсу позже.
6. Восстановите сайт через последний полностью работоспособный бэкап. Сохраненную копию рекомендуется предварительно проверить на наличие вирусов и других вредоносных компонентов. Это можно сделать самостоятельно или обратиться к сторонним исполнителям, специализирующимся на кибер-безопасности.
7. Уведомите поисковые системы (через Google Search Console, Яндекс.Вебмастер) о том, что проблема с безопасностью на сайте устранена. После этого поисковые алгоритмы проведут внеплановую  контрольную проверку. Если в процессе сканирования угрозы не будут обнаружены, с сайта будут сняты ограничения. Даже, если ресурс не попал под санкции как потенциальный источник опасности, официальная просьба о проверке будет не лишней.
8. Помимо этого, после взлома и восстановления необходимо поменять важные пароли, обновить все компоненты системы управления сайтом, если требуется, и улучшить политику безопасности.

Заключение

Существует масса способов нарушить работу ресурса, в том числе взлом сайта, DDoS-атаки и получение доступа к его панели управления через украденные пользовательские данные.

Несмотря на то, что от этого нельзя стопроцентно защитить ресурс, есть способы снижения риска утечки информации и ее последствий в случае взлома. Пользуясь перечисленными рекомендациями и инструкциями, любой администратор или владелец ресурса может обезопасить его от действий хакеров.

Ищите безопасную «гавань» для своего сайта? Выбирайте хостинг на VPS от Eternalhost! Техническая поддержка 24/7, система защиты от DDoS-атак.