Главная » Советы

Как защитить сайт от взлома

На чтение: 18 мин Советы

Ограничьте доступ пользователей к вашему сайту

Если вы не единственный пользователь, который имеет доступ к вашему сайту, будьте осторожны при добавлении новых учетных записей пользователей. Вы должны держать все под контролем и вы должны максимально возможно ограничить доступ к вашему сайту пользователей, которые в этом не нуждаются.

Если у вас много пользователей, вы можете ограничить их функции и разрешения. Они должны иметь доступ только к тем  функциям, которые необходимы для выполнения ими своей работы.

Использование сильных паролей, может помочь вам в этой ситуации. Да, по умолчанию, WordPress рекомендует сильный пароль, но он не заставит вас изменить его, если вы выбираете слабый. Плагин Force Strong Passwords

Исправит это. Он не даст установить вашим пользователям, слабый пароль. По сути, это ваш единственный способ убедиться, что они используют надежные пароли, также, как и вы.

Типы защиты

Рассмотрим основные опции для защиты от копирования, включая стоимость, уровень защиты и реализацию.

Система доверия

Начальные траты равны нулю — вы надеетесь, что те, кто купит ваше ПО, не будут его распространять, и вы получите доход с каждого пользователя. Не нужна никакая предварительная подготовка или реализация: как только вы скомпилировали программу, её можно распространять. Проблема в том, что по мере роста количества пользователей, они неизбежно (не)намеренно начнут распространение. Про то, что при такой системе уровень защиты практически никакой, наверное, можно и не упоминать.

Прим.перев. В качестве примера можно привести редактор Sublime Text, который порой предлагает заплатить за него, но не вынуждает. И не забываем про многострадальный WinRar с его напоминаниями о том, что он — не бесплатная программа.

Программная защита оффлайн

Как правило, это недорогой вариант. Обычно такое решение реализуется после компиляции программы. Зачастую для защиты приложения используется программная обёртка с определёнными настройками. Когда программа запущена у пользователей, она не подключается ни к каким внешним системам. Так как все параметры лицензирования находятся на компьютере, на котором запускается ПО, такую защиту довольно просто обойти. Уровень защиты при использовании данного решения находится между низким и средним.

Программная защита онлайн

Обязательное подключение к серверу лицензирования обычно приводит к росту трат для запуска и добавляет периодические расходы. Здесь тоже используется программная оболочка для защиты, однако благодаря тому, что параметры лицензирования вынесены в онлайн, появляется больше возможностей. Дополнительные опции позволяют отследить, где используется ПО, как используется, с лицензией или без. Из-за необходимости постоянного интернет-подключения ваш продукт, возможно, получится использовать не везде. Защита в данном случае — между средним и высоким уровнем, так как параметры лицензирования остаются на защищённых серверах лицензирования.

Аппаратная защита

Защита очень сильная, так как за лицензирование отвечает электронный USB-ключ, которому не нужно подключаться к интернету. Стоимость каждого ключа на каждую лицензию низкая; кроме того, отсутствуют периодические расходы. Реализовать можно с помощью API или программных обёрток.

Этот вариант — один из наиболее простых, надёжных и универсальных, так что остановимся на нём подробнее.

Прим.перев. Функции лицензирования можно разрабатывать самостоятельно, но это весьма непростой и трудоёмкий процесс. Опять же, можно воспользоваться готовым ПО для управления лицензированием, но оно, в свою очередь, тоже потребует лицензирования и будет стоить денег. Также можно поискать open-source библиотеки и решения для этих целей, вроде этой и этой.

Защита файловой системы

Как ответственный разработчик, вы должны всегда писать такой код, который не подставит под риск вашу файловую систему. Давайте рассмотрим код, которой отдаёт на скачку файл в зависимости от данных, переданных пользователем.

<?php
if (isset($_GET) {
    $filename = $_GET;
    header('Content-Type: application/x-octet-stream');
    header('Content-Transfer-Encoding: binary');
    header('Content-Disposition: attachment; filename="' . $filename . '";');
    echo file_get_contents($filename);
}

Данный скрипт очень опасен, так как из-за него можно получить доступ к любому каталогу, который доступен из файла со скриптом: к каталогу с сессиями, системным папкам и многому другому.

Пять правил защиты

С появлением электронной коммерции в сети Интернет повысилась активность злоумышленников по взлому интернет-ресурсов, банковских сетей и других финансовый предприятий. Но не стоит думать, что вашего компьютера это не касается. Ведь для взлома кого-нибудь сайта, может быть использован ваш компьютер. А вы об этом даже не узнаете. Или от вашего имени будут рассылаться вирусы на другие компьютеры, или злоумышленник будет обращаться на любой сайт в Интернете как бы от вашего имени.

В случае нанесения ущерба к вам могут нагрянуть сотрудники правоохранительных органов, так как будет зафиксирован адрес вашего компьютера. Ага, испугались? Как ни странно, довольно часто пароли злоумышленникам выдают сами пользователи. Иногда под видом администратора или сотрудника сопровождения вас могут попросить сообщить пароль для проверки на соответствие установленным требованиям по парольной защите.

Итак, первое правило усвоили, что дальше. Вредоносные программы могут попасть на ваш компьютер как из сети интернет так и посредством переноса их на флешках и дисках.

Стандартные пути заражения в Интернет:

  • Письма с вложениями
  • Установка непроверенных плагинов и программ прямо со страниц сайтов
  •  Сопутствующие запросы при скачивании файлов

Часто на электронную почту могут приходить письма с очень завлекательными заголовками от неизвестных адресатов.

Плагины расширяют возможности браузеров и часто бывают полезны. Например, без flash player вы не сможете просматривать в браузере видео или анимацию. Но не стоит устанавливать плагины просто так, для того чтобы был. Ставьте только действительно необходимые вам плагины. Вирусы могут выдаваться за полезные плагины.

При скачивании файлов вас могут попросить ввести номер вашего телефона, якобы для подтверждения того что вы реальный человек. При этом отзывы на странице вас только убеждают, что нет ничего страшного. Не ведитесь на развод.

Бдительность, конечно, не помешает, но как говориться: «Волков бояться – в лес не ходить». Поэтому необходимо подстраховаться. Сегодня большой выбор программных средств как платных, так и бесплатных для защиты компьютера от вирусов. Актуальные вирусные базы, гарантируют вам 90% защиты. Да и систему необходимо обновлять, для устранения обнаруженных уязвимостей. Для защиты своего компьютера я пользуюсь уже не первый год антивирусом NOD32 и вполне доволен его работой.

Но что же будет, если пренебречь всеми этими правилами. Хотите знать – не соблюдайте их.

Автоматизируем процесс проверки

Ставим скрипт на крон, чтобы знать об изменениях на хостинге в любое время суток. Крон есть на каждом хостинге, только пути для выполнения у многих разные, по этому почитайте FAQ на своем хостинге или обратитесь в тех.поддержку, чтобы они помогли все правильно настроить.

Для примера пару команд:

/usr/bin/wget -O — -q https://vasilenko.info/antishell.php

1 usrbinwget-O—qhttps//vasilenko.info/antishell.php

/usr/bin/php -f /home/u/vasilenko.info/antishell.php

1 usrbinphp-fhomeuvasilenko.infoantishell.php

wget -q -O — /dev/null https://vasilenko.info/antishell.php >/dev/null 2>&1

1 wget-q-O-devnullhttps//vasilenko.info/antishell.php >/dev/null 2>&1

Задаем нужный интервал сканирования (пример в ISPmanager):

Например ставим раз в час или день.

Крон будет заходить автоматически по расписанию на секретный файл, который мы хорошо спрятали и если что-то изменилось, сразу же пошлет отчет на почту.

Устанавливайте SSL-сертификаты

Определить сайт с SSL-сертификатом легко — если вы видите небольшой замок рядом с адресом сайта в браузере, значит сайт защищен, а вся информация передается по защищенному протоколу HTTPS.
Компании, выпускающие SSL-сертификаты, называются удостоверяющими центрами, которые, в свою очередь, делятся на коммерческие и некоммерческие. Например, некоммерческий удостоверяющий центр Let’s Encrypt выпускает полностью бесплатные и автоматизированные сертификаты, которые защищают сайты не хуже платных аналогов. Главное отличие платного сертификата от бесплатного — финансовая гарантия. В случае взлома платного сертификата удостоверяющий центр может выплатить компенсацию. Порой, это весьма солидные суммы, от $500К и выше.

Безопасное общение

Одна из главных функций интернета в современном обществе — общение. Люди не только вводят личные данные на сайтах, но и взаимодействуют с другими пользователями: обмениваются информацией, ведут переписку, заводят друзей.

И здесь пользователя подстерегают новые опасности — травля в сети, мошенничество или угроза личной безопасности.

Кибербуллинг

Травля по интернету — это угрозы и оскорбления от агрессивно настроенных пользователей в адрес другого пользователя. Заниматься кибербуллингом в ваш адрес может один или несколько человек. Чтобы не пострадать от подобной травли, соблюдайте несколько правил:

  1. Не отвечайте на агрессивные сообщения — обидчики только и ждут вашей ответной реакции.
  2. Занесите пользователей в чёрный список.
  3. Сообщите о происходящем технической поддержке социальной сети. Вам помогут заблокировать пользователя или же написать на него жалобу.
  4. Делайте скриншоты переписки, содержащей оскорбления и угрозы, чтобы в случае необходимости использовать её как доказательство травли против вас. На скриншотах должен быть виден текст сообщения и имя отправителя. Не полагайтесь на хранение переписки — в некоторых соцсетях и мессенджерах можно удалить отправленные сообщения. 
  5. Сообщите о происходящем взрослым. Если угрозы направлены на жизнь и здоровье, то имеет смысл обратиться в правоохранительные органы.

Онлайн-груминг

Грумингом называют различные виды мошенничества в сети, когда преступники обманом втираются в доверие к пользователям и получают от них личные данные или деньги за несуществующие товары и услуги. Часто мошенники пользуются уже взломанными аккаунтами пользователей для рассылки сообщений по списку контактов.

Если ваш друг или знакомый присылает сообщение с просьбой перечислить ему денег на банковскую карту, обязательно уточните у него другим способом (лично, по телефону или в другой социальной сети или мессенджере), что это действительно он.

Мошенники расспрашивают пользователей, особенно детей и подростков, о финансовом положении семьи, о работе родителей, о поездках и других перемещениях, выясняют адреса, телефоны, номера машин. Вся эта информация может быть использована для совершения преступления.

Для защиты от интернет-мошенничества соблюдайте несколько правил:

  1. Регистрируясь в социальной сети, закрывайте свой аккаунт от посторонних, а посты с личной информацией публикуйте в режиме «для друзей».
  2. Ограничьте контакты в сети с незнакомыми людьми. Никогда не сообщайте им личных данных. Если незнакомый человек хочет встретиться лично, сообщите об этом родителям. Ни в коем случае не ходите на такие встречи в одиночестве.
  3. Не публикуйте в открытом доступе личные данные: адрес, номера документов, банковских карт, билетов и так далее.
  4. Не переходите по подозрительным ссылкам, даже если получили их по почте или в сообщении от знакомого пользователя.
  5. Не скачивайте файлы на подозрительных или ненадёжных сайтах.

Способы защиты информации

Начнём с того, как защитить информацию как таковую. О способах защиты рассказал эксперт RTM Group Евгений Царёв.

Физические средства защиты информации

Это сейфы, в случае с компанией – системы контроля доступа, запираемые шкафы и прочее. Подходят для безопасности тех носителей, которые не используются, но хранятся продолжительное время

Важно отметить, что металлические шкафы не подходят для хранения магнитных носителей (жёсткие диски), т.к. могут размагничивать носитель

Для жёстких дисков следует применять специальные сейфы.

Аппаратные средства защиты информации

Электрические, электронные, оптические, лазерные и другие устройства. Многие пользуются токенами. Например, для доступа в интернет-банк это самое популярное аппаратное средство защиты информации. Это надёжные средства, если используются правильно, но с удобством есть проблемы. Аппаратные средства можно потерять, сломать и прочее, нужно поддерживать систему управления, причём с элементами логистики.

DLP-система (от англ. Data Leak Prevention)

Это специализированное ПО, которое блокирует передачу конфиденциальной информации и даёт возможность наблюдать за ежедневной работой сотрудников, чтобы найти слабые места в безопасности и предотвратить утечки. Система анализирует циркулирующую внутри компании информацию. Если появляется угроза опасности, информация блокируется, о чём автоматически уведомляют ответственного сотрудника. DLP и SIEM – решения высокого класса, требуют наличия качественной системы обеспечения информационной безопасности. Используются средними и крупными компаниями. Важна правильная настройка. Это основной инструментарий в работе служб информационной безопасности.

Криптографические средства

Кодирование, шифрование, сюда же относится электронная подпись. Как говорил Эдвард Сноуден: «Криптография работает!». Но её использование часто недооценивают. Даже банальное шифрование флешек используют единицы, хотя на них хранится подчас ценная информация.

Защита данных сессии

По умолчанию вся информация сессий записывается в каталог temp. Если вы пользуетесь виртуальным хостингом, кто-то помимо вас может написать скрипт и считать данные сессий. Поэтому остерегайтесь хранения паролей или номеров кредиток в сессиях.

Если же всё-таки вам необходимо хранить подобные данные в сессии, то лучшей мерой будет шифрование. Это до конца не решает проблему, так как зашифрованные данные не на 100% безопасны, однако хранимая информация будет нечитабельной. Также вам стоит подумать о том, что данные сессии можно хранить в другом месте, таком, как база данных. В PHP есть специальный метод , который позволит вам хранить данные сессий по-своему.

Начиная с PHP 5.4 вы можете передать объект типа в .

Описание курса

Хакерские атаки на сайты и веб-серверы – то, с чем может столкнуться любая компания. Если злоумышленникам удастся взломать ваш ресурс, неприятностей не избежать. Заражение вирусом, похищение данных пользователей или их средств, размещение скрытых ссылок – это далеко не все, что могут хакеры. Все это может обернуться для владельца сайта потерей денег, нервов и доверия посетителей. 

Этот курс посвящен методам защиты сайта и веб-сервера от взлома. Вы познакомитесь с архитектурой распространенных веб-серверов — IIS (Microsoft) и свободного веб-сервера Apache и узнаете, как конфигурация сервера может повышать или понижать безопасность веб-сайтов. Вы рассмотрите разные виды атак на сайты и способы защиты от них. Подробно на курсе будут освещены такие виды взлома, как XSS-атаки и SQL-инъекции.

Полученные знания помогут слушателям оценить уровень защиты корпоративных ресурсов и провести мероприятия по ее укреплению. Особенно ценным окажутся для них комментарии и рекомендации преподавателей – опытных специалистов в сфере информационный безопасности, имеющих престижные сертификации EC-Council и Microsoft. Лабораторные работы позволят закрепить пройденный материал.

По окончании курса вы получите престижное свидетельство центра «Специалист».

Для кого этот курс?

  • Cистемные администраторы безопасности, инженеры и аудиторы, работающие или предполагающие работать на средних и крупных предприятиях, вплоть до организаций корпоративного масштаба.
  • Квалифицированные специалисты в области информационных технологий, включая администраторов предприятий, желающих улучшить свои знания и навыки в области безопасности веб-сайтов.
  • Квалифицированные специалисты, которые хотят понять суть и методы защиты веб-сайтов.

Хотите быть уверенными, что ваш сайт защищен от взлома? Тогда записывайтесь на курс!

Что такое безопасность сайта?

Интернет — опасное место! Мы регулярно слышим о том, что веб-сайты становятся недоступными из-за атак типа отказано в обслуживании, или отображение изменённой (и часто повреждённой) информации на их страницах. В других случаях миллионы паролей, адресов электронной почты и данные кредитных карт становились общедоступными, подвергая пользователей веб-сайта личному смущению или к финансовым рискам.

Цель веб-безопасности заключается в предотвращении этих (или других) видов атак. Более формальным определением веб-безопасности является: способы защиты веб-сайтов от несанкционированного доступа, использования, изменения, уничтожения или нарушения работы.

Для эффективной безопасности веб-сайта необходимо уделять особое внимание к разработке всего веб-сайта: к вашему веб-приложению, конфигурации веб-сервера, при написании политик создания и обновления паролей, а так же кода на стороне клиента. Хотя все это звучит очень зловеще, хорошая новость заключается в том, что если вы используете веб-фреймворк для серверной части, то он почти наверняка обеспечит «по умолчанию» надёжные и продуманные механизмы защиты от ряда наиболее распространённых атак

Другие атаки можно смягчить с помощью конфигурации вашего веб-сервера, например, включив HTTPS. Наконец, есть общедоступные инструменты для сканирования уязвимостей, которые могут помочь вам определить, если вы допустили какие-либо очевидные ошибки.

В оставшейся части этой статьи мы рассмотрим более подробную информацию о некоторых самых распространённых угрозах и о простых шагах, которые вы можете предпринять, чтобы защитить свой сайт.

Примечание: Это вводная статья, призванная помочь вам задуматься о безопасности веб-сайта, но она не является исчерпывающей.

Валидация входящих данных

Во время проектирования приложения, вам нужно стремиться защитить его от “плохих” входящих данных. Правило, которому нужно следовать, звучит примерно так: “Никогда не верьте тому, что ввёл пользователь”. Несмотря на то что большинство пользователей не представляют угрозы, всегда есть вероятность того, что кто-то захочет хакнуть ваш сайт, используя “плохие” данные, вводимые через формы или адресную строку. Если вы всегда проверяете и фильтруете входящие данные, то у вас неплохие шансы написать безопасное приложение.

Всегда проверяйте ваши данные в PHP скриптах. Если же вы используете JavaScript для валидации данных, то в любой момент злоумышленник может отключить его в своём браузере. В таком случае ваше приложение в опасности. Никто не против JavaScript валидации, но для хорошей защиты вам необходимо перепроверять данные в PHP скриптах.

Что стоит запомнить

Ваш сайт могут скопировать — и контент на нем, и код. Это не только обидно, но и опасно — в случае, если скопированный материал проиндексируется сначала у воришек, и только потом у вас. Вы окажетесь ниже в поиске по релевантному запросу или вообще не попадете в выдачу, к тому же поисковые системы могут занизить вас якобы за плагиат.

На 100% защитить сайт от копирования не получится, но можно усложнить жизнь ворам и сделать так, чтобы поисковики показывали именно ваш, а не ворованный контент, и не было сомнений, что авторство принадлежит именно вам.

Вот какие способы для этого есть.

Запретить копирование контента и кода сайта. Это делается специальным кусочком кода: пользователь просто не может скопировать текст или увидеть код. Не советую этим пользоваться. Во-первых, это может злить пользователей, а во-вторых, продвинутый вор все равно найдет способ обойти запрет.
Автоматически добавлять ссылку на источник в скопированный у вас текст

Это поможет нарастить внешнюю ссылочную массу, если вор не заметит и не удалит такую приписку.
Ставить подпись к материалам — эта предосторожность на случай, если дело дойдет до суда и нужно будет доказать авторство.
Прописать в подвале или в другом месте сайта правила использования материалов. Если у вас официально можно будет брать материалы со ссылкой на источник, это даст больше внешних ссылок.
Добавлять водяной знак на фото и видео, чтобы его сложно было затереть или обрезать.
Хранить у себя оригиналы всех фото и видео в исходном качестве без обработки — они послужат доказательством авторства.
Писать уникальный и специфичный контент, который конкурентам будет сложно применить у себя.
Перед публикацией регистрировать текст в инструменте «Оригинальные тексты» в консоли «Яндекс.Вебмастер» для нужного сайта

Так поисковик будет знать, что текст впервые вышел именно на вашем сайте.
Сразу после публикации анонсировать материал на всех доступных площадках. Чем больше внешних ссылок будет на публикацию, тем быстрее она проиндексируется поисковиками.

Что нужно запомнить

Внимательно отнеситесь к созданию и хранению паролей.

Изучите политику конфиденциальности сайтов и приложений, запретите вашему браузеру автоматически сохранять пароли, регулярно удаляйте cookies.

Пользуйтесь блокировщиками рекламы.

Оставляйте личные данные только на сайтах с защищённым соединением. Не пользуйтесь общественными сетями Wi-Fi для передачи конфиденциальной информации.

Если вы столкнулись с травлей в сети, блокируйте пользователя, который отправляет вам агрессивные сообщения. Обратитесь в службу поддержки сайта или социальной сети, сообщите родителям. Не вступайте в дискуссии с агрессивно настроенными пользователями.

Чтобы не стать жертвой интернет-мошенников, перепроверяйте всю информацию, полученную по электронной почте или в сообщениях социальных сетей и мессенджеров, не сообщайте незнакомым людям и не публикуйте в открытом доступе личные данные. 

Изображения: Ann-Sophie De Steur / Dribbble

Защита от XSS атак

Межсайтовый скриптинг или XSS атака — это атака, основанная на внедрении кода на потенциально уязвимых страницах. Опасность в том, что вредоносный код может быть введён через формы, а затем отображён в браузере.

Предположим, на вашем сайте есть форма для ввода комментариев, которые сразу же отображаются после добавления. Злоумышленник может ввести комментарий, содержащий JavaScript код. После отправки формы, данные переправляются на сервер и заносятся в базу данных. После этого данные извлекаются из базы и новый комментарий отображается на HTML странице, включая и внедрённый JavaScript код. Он может перенаправлять пользователя на какую-то вредоносную страницу или на фишинговый сайт.

Для защиты ваших приложений, пропускайте входящие данные через функцию , которая удалит все присутствующие теги. При отображении данных в браузере, применяйте функцию .

Выводы

Владельцы бюджетов и сотрудники служб ИБ задают вопрос, какой вариант является лучшим: инвестировать в сканер безопасности веб-приложений, который может быть использован собственными сотрудниками, или нанять профессиональную команду пен-тестеров? И если сканер уже есть, то существует ли «правильный» сотрудник, чтобы проверить результаты его работы? Сканеры безопасности никогда не заменят профессионалов, но и профессионалы никогда не будут такими эффективными, как автоматические сканеры. Благодаря автоматизации и современным технологиям мы можем автоматизировать больше, поэтому тесты на проникновение требуют меньше вмешательства человека. Gartner прогнозирует, что рынок автоматических сканеров приложений достигнет 14% всех средств обеспечения безопасности к 2021 году, оставаясь самым быстрорастущим среди всех сегментов ИБ. Но нельзя полагаться только на сканеры. Мы подготовили для вас краткую памятку по защите веб-приложений:

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Люкс-хост
Вам также может быть интересно
.
Как узнать чужой ip-адрес — получаем информацию о других пользователях в социальных сетях и при переписке
Советы 0
Как отследить чей-то ip-адрес (и местоположение) с помощью ссылки
Nmedia / Shutterstock Где находится человек, с которым вы разговариваете? Они те, кто они
Люкс-хост
Как встроить формы google на веб-сайт
Языки программирования 0
9 удивительных причин использовать google forms
Если вы когда-либо пытались провести онлайн-опрос раньше, вы, вероятно, использовали несколько веб-инструментов, таких как
Люкс-хост
Учебник windows firewall - блокировать список ip-адресов ( шаг за шагом )
Языки программирования 0
.htaccess доступ по ip
Что такое deny allow в htaccess? Блокировка доступа к сайту по IP. Защита админки.
Люкс-хост
Узнайте как выглядел сайт в прошлом. и о том, как изменялись популярные сайты за 20 лет
Советы 0
Как найти архивные копии сайтов интернета
Как найти архивные копии сайтов интернета или машина времени для сайтов Существует настоящая, реальная
Люкс-хост
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.