Почему сайты взламывают повторно

Повторный взлом сайта – явление вдвойне неожиданное и неприятное хотя бы потому, что вы уже потратили время и силы на лечение вашего веб-проекта и уже попытались защититься от несанкционированного вторжения.  Но плохой парень, взламывающий сайты с целью нечестного заработка, оказался хитрее вас: он свел все ваши труды на нет и безнаказанно продолжает паразитировать на вашем сайте – рассылает спам, редиректит на порно-ресурсы или размещает вредоносную рекламу.

В данной статье мы хотим рассказать о том, почему сайты взламываются повторно, точнее, какие ошибки наиболее часто совершают веб-мастера и владельцы сайтов, когда пытаются лечить сайты самостоятельно, без обращения к специалистам по информационной безопасности. Надеемся, данный материал будет полезен тем, кто решит вести самостоятельную борьбу с темными рыцарями современного интернета.

Что ж, не наступайте на грабли.

Первая и, пожалуй, самая главная причина повторного взлома и заражения – это отсутствие комплексного подхода к решению проблемы безопасности сайта и понимания того, что безопасность – это не разовое действие, а постоянный процесс. А теперь разберемся, что стоит за этими пафосными фразами и общими словами.

Что нужно сделать, если на сайте обнаружен вредоносный код? Следуя логике, удалить посторонний фрагмент, закрыть уязвимость, которой воспользовался хакер, и предпринять ряд других действий, чтобы повысить безопасность веб-проекта. В большинстве случаев веб-мастера выполняют необходимые действия лишь частично. (А иногда и вовсе прибегают к чрезвычайно примитивному и чрезвычайно бесполезному способу – откатить сайт назад до незараженной версии. Миф про Сизифа все помним?).

Сизиф

Кто-то ограничивается обновлением CMS до последней версии и патчингом скриптов. Кто-то после удаления вредоносного кода устанавливает на сайт плагин безопасности. Кто-то после лечения сайта не идет дальше смены прав на папки и директории. Все эти действия верны, но выполняться они должны не фрагментарно, а в комплексе. При этом веб-мастер должен понимать, что ему важно не просто справиться с последствиями текущего взлома и устранить причину, но и сделать так, чтобы в будущем атаки на сайт стали невозможны. Не будучи специалистом по информационной безопасности, который каждый день работает с удалением вредоносного кода и видит эволюцию инструментов для взлома, сделать это непросто. Однако чем больше мероприятий по повышению безопасности веб-сайта вы выполняете, тем выше шансы вашего сайта не оказаться в числе хакерских жертв.

Помните, работать с безопасностью сайта нужно в двух направлениях: внешний периметр, когда мы боремся с вредоносным трафиком и атаками (эту проблему решает проксирование трафика с помощью Web Application Firewall), и внутренний периметр, когда мы работаем непосредственно с самим сайтом и проводим ряд специальных мероприятий на хостинге. О том, как это делает «Ревизиум», можно познакомиться по данной ссылке.

Вторая причина – компрометация доступов. Казалось бы, поменять все пароли и доступы от сайта и хостинга нужно сразу, как только вы обнаружили, что сайт взломали. Ведь вы еще не знаете, каким способом хакер проник на ваш ресурс. Возможно, это произошло как раз через перехват FTP-доступов, когда вы работали с сайтом в аэропорту, ожидая ваш рейс в Тайланд, ну или Самару, или кушали тирамису в кафе и параллельно обновляли информацию на сайте, используя незащищенный WiFi.

Однако по-прежнему остаются веб-мастера и владельцы сайтов, которые даже после лечения сайта не утруждают себя сменой доступов. Ситуация усугубляется и тем, что очень часто владельцы сайтов используются слабые пароли, которые на раз и два подбираются в рамках брутфорс-атак. (Кстати, мы как-то уже освещали вопрос психологии слабых паролей, кому интересно – можете почитать).

Третья причина – это наличие зараженных или незащищенных «соседей» на аккаунте хостинга. Данная проблема касается веб-мастеров или владельцев сайтов, которые размещают несколько сайтов на одном аккаунте хостинга и при взломе одного веб-проекта игнорируют безопасность остальных «членов экипажа».  А зря. Хакер редко упустит шанс взломать и закрепиться сразу на всех сайтах аккаунта хостинга, если сайты не изолированы друг от друга (а в большинстве случаев так оно и бывает). Поэтому только что вылеченный сайт может легко «подцепить заразу» от непроверенного соседа.

Отдельно про безопасное размещение сайтов на хостинге можно прочитать в нашей статье «Как безопасно размещать сайты на хостинге».

Итак, если вы обнаружили проблемы с одним сайтом на вашем мультисайтовом аккаунте хостинга, не поленитесь проверить остальные сайты. Наш сканер вредоносного кода AI-BOLIT вам в помощь.

Причина номер четыре повторного заражения сайта – ваши подрядчики. Это не значит, что наемные веб-разработчики, дизайнеры, контентщики или онлайн-маркетологи спят и видят как заразить ваш сайт и погреть на этом руки (хотя такое в интернетах тоже не редкость). Но то, что ваши партнеры могут не соблюдать правила безопасной работы с веб-ресурсом, исключать нельзя. Поэтому со своей стороны необходимо контролировать выполнение задач, отдающихся на аутсорсинг. Как минимум подрядчики должны работать через безопасное WIFI подключение с незараженных вирусами компьютеров.

Да, вы вряд ли сможете проверить, установлен ли на компьютере контент-менеджера, который обновляет ваш сайт, коммерческий антивирус, но все-таки постараться обезопасить себя стоит. Например, вы можете предоставлять не полный доступ к сайту, а ограниченный, который необходим для решения конкретной задачи, а по окончании работ сразу менять доступы или удалять временные аккаунты. Вы можете ознакомить исполнителя с техникой безопасности при работе с конфиденциальными данными и доступами, и убедиться, что он намерен ей следовать. Наконец, вы всегда можете попросить вашего подрядчика заключить договор и дополнительно Соглашение о неразглашении конфиденциальных данных.

Причина пять – изменение конфигураций хостинга. Изменение конфигурации хостинга может привести к сбою ваших настроек, которые вы поменяли для повышения безопасности сайта. Такое может случится при переезде на новый хостинг, в результате работы подрядчиков с сайтом или при сбое работы сервера на стороне поставщика хостинговых услуг - в конце концов, никто не застрахован от ошибок. Периодический мониторинг конфигурации сервера поможет своевременно обнаружить проблему и предпринять соответствующие действия.

И еще раз о самом главном: безопасность – это не разовое действие, а процесс, которому нужно уделять постоянное внимание. Чем больше мероприятий по безопасности вы выполняете, тем меньше шансы хакеров на успех.

Есть вопросы? – Пишите на manager@revisium.com