Як вберегти свій web-сайт від зламу
Фахівці з кіберзахисту Черкаського НДЕКЦ МВС неодноразово наголошували на важливості надійного паролю, перевагах використання ліцензійного програмного забезпечення чи небезпеках, що несуть в собі деякі додатки до звичного нам програмного забезпечення. Ці поради насамперед стосуються користувачів web-ресурсів й несуть в собі єдину ключову ідею – чітке дотримання простих правил дозволить Вам безпечно робити покупки в он-лайн магазинах, користуватись он-лайн банкінгом чи просто читати новини й гортати соціальні мережі.
Сьогодні хотілося б звернутись до іншої категорії населення – web-розробників. Тобто до людей, які своєю діяльністю забезпечують ефективне функціонування звичних нам порталів в глобальній мережі Інтернет. Саме завдяки вмінням та навичкам web-розробників ми щоденно маємо можливість робити покупки в он-лайн магазинах, читати новини й гортати соціальні мережі. Але й тут є що порадити!
Деякі поради, щодо захисту свого web-ресурсу від зламу:
- Найбільш розповсюдженим методом зламу web-сайту є використання помилок коду платформи (CMS), що використовується. Саме тому, ніколи не використовуйте зламану (nulled) платформу! Особа, яка зняла систему захисту з платформи обов’язково додала туди фрагмент коду (backdoor), що дозволить без зайвих зусиль втрутитись в роботу Вашого сайту.
- Одна з важливих умов безпечного функціонування ресурсу – регулярне оновлення CMS. Зазвичай кожна нова версія платформи не тільки оновлює функціональні можливості системи, а й усуває помилки і закриває незахищені місця, через які легко зламати сайт. Своєчасне оновлення допоможе уникнути атак на вразливості CMS. Звичайно це не гарантує абсолютний захист, але значно підвищує його рівень.
- Досить часто web-сайти зламують методом завантаження файлу з вірусом на сервер й подальшим зверненням до нього. Рекомендуємо налаштувати програмне забезпечення Вашого серверу (Apache, Nginx, тощо) на обробку не усіх скриптових файлів, а лише на так звані «точки входу». Тобто, якщо користувач може звернутись лише до файлу «index.php» – нема жодного сенсу розпізнавати як скриптовий будь-який інший файл.
- Обов’язково використовуйте шифроване з'єднання! На сьогодні протокол HTTPS не є чимось додатковим – він є обов’язковим. Радимо взагалі відмовитись від не захищеного протоколу перенаправляючи всі запити на захищене з'єднання (наприклад 301 редирект). Якщо у Вас виникли труднощі з отриманням сертифікату, радимо використовувати сервіс Let’s encrypt – центр сертифікації, що надає безкоштовні криптографічні сертифікати для TLS-шифрування (HTTPS) строком на 3 місці. Процес видачі сертифікатів повністю автоматизований.
- Обов’язково використовуйте HSTS – механізм, який примусово активує захищене з'єднання через протокол HTTPS. Зазначений механізм допомагає запобігти частині атак, спрямованих на перехоплення з'єднання між користувачем і веб-сайтом.
- Налаштуйте «Content Security Policy» для свого сайту. CSP – це додатковий рівень захисту, що дозволяє розпізнавати й унеможливлювати певні типи атак, таких як Cross Site Scripting (XSS) та атаки підміни даних.
- З метою запобігання DDoS та інших видів атак, радимо використовувати сервіс CloudFlare – компанія надає як мережеві послуги доставки контенту (CDN) та пом'якшення DDoS атак, так й досить потужні служби виявлення атак та послугу DNS-хостингу. CloudFlare забезпечує доставку контенту між клієнтом та сервером, при цьому не розкриваючи реальну IP адресу серверу, що майже унеможливлює здійснення DDoS атак.
Виконання вищезазначених порад дозволить значно поліпшити рівень безпеки Вашого web-ресурсу. Деякі з наведених порад будуть детально розглянуті в майбутніх статтях. Слідкуйте за нашим сайтом!