Ликбез по безопасности

Причины, по которым ваш сайт взломали

На самом деле, очень мало сайтов взламывают именно потому, что удаленный злобный хакер вот прям сейчас лично взламывает ваш сайт с какими-либо недобросовестными намерениями. Обычно – нет, конкретно к вам никакого зла с большой буквы автор вредоносного скрипта не испытывает.

Большинство недобросовестных намерений несут за собой не абстрактное желание навредить вам, а намереваются захватить те ресурсы, которые есть у вашего сайта – процессорное время. Во вторую очередь – ваши данные и данные ваших посетителей.

Кто же те люди, которые прицельно могут желать недоброго вашему сайту?

Это могут быть как конкуренты, которым выгодно, чтобы ваш сайт простаивал, или, например, ваши бывшие сотрудники, которые после ухода из вашей компании решили поквитаться с вами за все хорошее, и выбрали для этого столь изощренный способ, как взломать сайт, вместо того, чтобы просто и без изысков положить вам кнопку на кресло. Наиболее распространенный вариант – это вредоносные роботы, которым все равно, что взламывать, главное, чтобы они могли это сделать.

С желанием первой группы сделать вам гадость, стоит это прекрасно понимать, мы ничего не сделаем. Бизнес есть бизнес, и жесткие методы по отношению к вам применяться будут. Это касается и вашего сайта, и чем больше прибыли ваш сайт приносит, тем более лакомым кусочком он становится. Говоря о прибыли, стоит заметить, что мы говорим не только о материальной выгоде с продаж, если это интернет магазин, но и о репутации и впечатлении о вашей компании в целом.

Сейчас каждый посетитель вашего сайта так же как и мы с вами, уже наслушался страшилок в СМИ о злобных хакерах, которые взглядом через лампочку уводят деньги со счета, и поэтому одним из важных критериев будет безопасность его данных и денежных операций на вашем сайте. Несомненно, большой процент людей над этим не задумывается, и преследует на вашем сайте какую-то определенную цель : и наша с вами задача – максимально быстро, просто и привлекательно представить ему товар или услугу, который он ищет, дать гарантию того, что именно ваш магазин лучше всех других , максимально просто получить деньги и распечатать чек. И на этом наша первичная работа закончится. И все будут счастливы.

Собственно, чтобы сохранить это ощущение счастье клиента и наше с вами, нам крайне важно не допустить, чтобы в процесс получения клиентом материального счастья от информации и услуг вашего сайта влезали посторонние недобросовестные лица.

Какие основные типы атак существуют?

WEB-ИНТЕРФЕЙС

Брутфорс (подбор паролей), использование уязвимостей сайта,CMS, используемых плагинов и модулей

НА СЕРВЕР

Удар напрямую на ваш хостинг и получение административных прав доступа

ЧЕЛОВЕЧЕСКИЙ ФАКТОР

Взлом компьютера администратора, получение административного доступа по неосторожности или небрежности владельца

Первая и наиболее распространенная – это атаки непосредственно через веб, а именно – эксплуатация различного вида уязвимостей и банальный перебор паролей – брутфорс. Этим обычно занимаются программы – роботы, которые автоматически сканируют ваш сайт и пытаются найти возможные уязвимости из известного им списка.

Например, наличие вспомогательных скриптов phpmyAdmin, слабых незащищенных форм без валидации данных, плагинов с ошибками в коде и других участков кода вашего сайта, через которые можно загрузить на ваш сайт уже свой скрипт, который добьется административных прав и запустит программу-злоумышленника. Такие программы могут слить ваши данные, подменять их по своему усмотрению, влезать в коды платежных операций и все, на что хватит их больной фантазии, что очень и очень неприятно.

Как можно снизить риски таких атак?

Включить проактивный фильтр и веб - антивирус Битрикс
Эти меры пресекут очень большой процент атак на ваш сайт путем внедрения какого-либо кода через формы. Не забывайте регулярно обновлять систему для получения новых обновлений к этому модулю

Проводить регулярную проверку сканером безопасности Битрикс
И антивирусными программами. Нелишне будет раз в месяц зайти в вебмастер яндекс и проверить сайт там.
Задача такой проверки – найти потенциально уязвимый код и закрыть уязвимость как можно раньше, до того, как она будет обнаружена роботом-злоумышленником

Настроить политики безопасности Битрикс
В особенности для группы администраторов. Нелишним также будет настроить инструмент контроль активности, который позволит вам определить параметры, после которых хиты будут считаться враждебными

Здесь надо не перестараться, чтобы не ограничить действия нормальных посетителей. В частности, с контролем активности надо быть осторожнее, чтобы активные "кликеры" не попали под раздачу и не были заблокированы под горячей рукой контроля.

Хорошим шагом будет узнать у вашего системного администратора набор айпи адресов ваших рабочих компьютеров и ограничить доступ в административный раздел. Крайней мерой будет внедрение двухфакторной авторизации, что исключит подбор пароля практически полностью

Про пароли

"Универсальный" на мой взгляд, вариант "для всех". Четыре "нет" для того, чтобы ваш администратор спал спокойно по ночам

НЕТ простым паролям

Пароль должен быть разумно сложным (8-16 символов, с цифрами, буквами, и хотя бы одним знаком препинания). Ради интереса проверьте свой пароль здесь)

НЕТ txt файлам с паролями

Пароли не хранятся в отрытом виде нигде: ни в вашей базе данных, ни на специальной странице, ни в текстовом файле на вашем рабочем столе, ни под клавиатурой. Если есть необходимость хранить пароли от сторонних сервисов в открытом виде, храните их в недоступных из внешней среды разделах.

НЕТ отправке паролей

Дайте возможность восстановления паролей, следите за тем, чтобы эта процедура была защищенной(если пароль восстанавливается по email – он должен быть уникальным в рамках вашего сайта, если по номеру телефона –уникальный номер телефона во всех вариантах его написания). Нет пересылке паролей по почте в открытом виде.

НЕТ суперпаролям

Не ставьте один пароль на все, и меняйте пароли регулярно, желательно - раз в месяц. Чем дольше пароль остается неизменным, тем больше он попадает в зону риска

Крайне важно осуществить переход сайта на https протокол, если вы по каким-либо причинам не сделали этого ранее. Это настолько важно для того, чтобы ваши данные не могли перехватить в момент передачи ( в том числе передачи данных платежных систем и паролей пользователей) и не смогли подменить данные вашего сервера своими ( в том числе делать рассылки от вашего имени сайта, пересылать ваших пользователей на другой сервер и прочее). Подробнее о SSL и почему это важно мы расскажем в другой статье.

Атаки на сервер, где лежат ваши данные

В этом случае вредоносный скрипт будет пытаться получить доступ (желательно root) и/или подобрать пароли к вашему хостингу и/или базе данных .

Первая задача, которую нам нужно решить – это позаботится о безопасности самого сервера, где лежат ваши данные.

Выберите надежный хостинг, о котором есть хорошие отзывы и который отвечает требованиям вашей CMS. Мы работам с Битрикс, поэтому выбирая хостинг под Битрикс, мы можете воспользоваться списком проверенных хостингов на сайте.

К сожалению, гарантировать 100% безопасность вашего сайта даже в этом случае будет нельзя. Учитывая современные реалии хостинг-платформ, достаточно уязвимости данных на одном из сайтов на аккаунте или даже на смежном с вашим, чтобы при взломе одного сайта оказались скомпроментированными все. Если есть возможность, предпочтительнее выбирать выделенный сервер, без «соседей», на доверенной площадке.

Существует вариант, при котором владелец сайта, сам того не желая, при скачивании плагина или модуля к своей системе получит «полезный» подарок в качестве уязвимого контента или даже вредоносного скрипта внутри. Чтобы этого избежать, пользуйтесь только проверенными источниками расширений, загружайте скрипты через маркеплейс и регулярно проверяйте, что в обновлениях к модулям не пришло чего-нибудь «веселого».

Человеческий фактор

Самый распространенный доступ получить пароль к чему-либо – это взломать не сайт, где он применяется, а компьютер, с которого этот самый пароль вводится. Поставить антивирусную программу и регулярно проводить проверки сейчас – это необходимость. Проверяйте также мобильный телефон – система хранения паролей и данных карт сейчас в большинстве систем общая для устройств. Лучше всего не сохранять пароли вообще.

И еще пару слов о человеческом факторе

Кто же все-таки может нам вредить целенаправленно?

Во-первых, недобросовестный подрядчик или фрилансер, у которого были или есть сейчас доступы к сайту. Не всегда по небольшим работам заключается официальный договор подряда, и обязательства сторон юридически могут быть оговорены, да и карательные санкции не помогут вернуть удаленные или зараженные данные. Будьте внимательны к сторонним лицам, которым вы предоставляете доступ. По возможности, всегда ограничивайтесь минимальным набором прав, необходимым для субподряда (также это касается контент-менеджеров, сео-продвижения, обмена с 1с и прочее). Если вы выдаете права, убедитесь, что по окончанию субподряда эти права будут у сотрудника убраны. Не давайте свои собственные пароли, делайте отдельные аккаунты (желательно настраивать логирование операций с этого аккаунта).

Также крайне важный момент – отслеживайте доступы уволенных сотрудников и не забывайте их закрывать в день увольнения сотрудника, в особенности, если ваше с сотрудником расставание было не в радужных тонах. Никому не хотелось бы, если бы ваша основная база данных была продана или подарена конкурентам.