Защита сайта

Для стабильной работы и успешного развития коммерческого веб-проекта владелец сайта должен уделять существенное внимание вопросам безопасности и защиты сайта. К сожалению, многие владельцы сайтов до сих пор не задумываются о том, что интернет стал намного «агрессивнее», чем несколько лет назад: средства для взлома становятся более доступными, а сам взлом практически ничего не стоит, как следствие растет число целевых и нецелевых атак на сайты.

защита сайта

Если ваш ресурс бесперебойно функционировал в течение последних пяти лет и вы не предпринимали для этого никаких специальных действий (не усиливали “обороноспособность” сайта), это не значит, что взлом интернет-ресурса не может произойти в любой момент сегодня.

Защита сайта критически важна для любых проектов в интернете – вне зависимости от отрасли, в которой работает компания, и размеров бизнеса. Под прицелом хакера может оказаться любой небольшой веб-ресурс – даже «сайт-визитка»: цель злоумышленника – заработать деньги, а способов монетизации взломанных сайтов достаточно.

Озадачиться вопросами защиты сайта никогда не поздно. Если вы уже столкнулись со взломом и заражением сайта, то должны понимать, что недостаточно просто пролечить веб-ресурс, очистив его от вредоносного кода. После лечения необходимо закрыть уязвимости и возможность успешного проведения новых атак, то есть установить на сайт защиту от взлома. Только в этом случае вы не столкнетесь с повторным взломом и заражением. В противном случае хакер всегда может «вернуться» и снова подсадить на вашу площадку вирусы, мобильные редиректы или спам-рассыльщики.

Между тем, защита важна и для «здоровых» сайтов. Речь идет о проактивных мерах, направленных на повышение устойчивости веб-ресурсов к несанкционированным вторжением извне. Дешевле защитить сайт превентивно. 

«Цементирование» сайта - решение от «Ревизиум»

Опираясь на собственный многолетний опыт работы в сфере информационной безопасности – помогая владельцам сайтов и веб-мастерам восстанавливать работоспособность сайтов после взлома - специалисты компании «Ревизиум» разработали собственную процедуру защиты сайтов клиентов.

Отличительной особенностью решения по защите сайтов является то, что после ее установки владельцам сайтов нет необходимости обновлять скрипты, как в случае с программным обеспечением или плагинами безопасности, следить за выходом патчей и новых версий, прибегать к дополнительным инструментам защиты сайтов от взлома (обновление скриптов, безусловно, важно и нужно, но после “цементирования” не является критической составляющей безопасности).

Наша защита самодостаточная и устанавливается на хостинге, средствами хостинга и является бессрочной. Для того чтобы защита работала – владельцу остается только следовать рекомендациям по безопасному администрированию сайта, разработанным специалистами «Ревизиум».

Под «защитой сайта» мы подразумеваем так называемую процедуру «цементирования» (от англ. “hardening”), в результате которой веб-ресурс становится неприступным для любых несанкционированных изменений извне. Злоумышленники не могут вносить изменения в файлы, каталоги и базу данных, добавлять вредоносные скрипты, рассылать спам и пр. – контроль над сайтом полностью принадлежит его владельцу. При установке защиты на сайте мы учитываем возможные векторы атак и закрываем уязвимости, которые бы могли эксплуатироваться злоумышленниками; административная панель сайта получает еще одного «защитника», о которой мы расскажем ниже, кроме этого, мы выполняем ряд других критически важных процедур для защиты сайта. В результате сайт становится неприступной скалой для веб-атак.

5 шагов по укреплению защиты вашего сайта

Мы лечим и защищаем веб-проекты, работающие на любых коммерческих и бесплатных CMS. Установка защиты сайта выполняется с учетом персонально разработанной для каждой конкретной CMS процедуры, однако основные шаги по укреплению безопасности сайтов универсальны и выглядят следующим образом:

Шаг №1. На этом этапе мы проводим анализ файловой структуры сайта, закрываем возможность запись в системные файлы и каталоги за исключением тех, которые нужны для штатной работы ресурса.

Шаг №2. На втором шаге отключаются системные функции (включая chmod) в настройках PHP, которые используются в хакерских скриптах для несанкционированных запусков процессов, изменения прав на файлы и каталоги, удаленного подключения и других неправомерных действий. Если какие-то системные функции требуются для работы сайта, мы находим компромисное решение, максимально снижающее риски взлома с использованием этих функций.

Шаг №3. Теперь настало время защитить свой веб-проект от ненавистных ботов, паразитного трафика и брутфорса. Для этого в корневом файле .htaccess или настройках веб-сервера мы размещаем специальный код, который блокирует действия скрипт-кидди на вашем сайте, ограничивает доступ к открытым на запись директориям (блокируя исполнение скриптов в них), к системным или чувствительным файлам, защищает бэкапы сайта от несанкционированного доступа и т.п.

Шаг №4. Для усиления защиты сайта, мы устанавливаем дополнительный «барьер» на административную панель веб-ресурса. Осуществляется это либо с помощью дополнительной серверной аутентификации, либо с помощью доступа с определенных IP адресов.

Чтобы пройти дополнительную серверную аутентифкацию пользователю потребуется ввести еще один логин и пароль, прежде чем авторизоваться в админ панели сайта. Ограничение авторизации по IP исключает возможность административного входа с любых сетевых адресов, кроме указанных владельцем веб-ресурса.

Шаг №5. Закрываем «дырявые» скрипты. Многие скрипты содержат уязвимости, которые нельзя закрыть средствами веб-сервера или файловой системы (пример такого плагина –revolution slider для wordpress или fckeditor для многих популярных CMS). Поэтому мы реализуем облегченную версию файрволла (WAF), выполняя виртуальный патчинг отдельных скриптов с помощью собственных программных решений.

Защита сайта, реализованная с помощью процедуры «hardening», - более эффективное решение по сравнению с установкой программного обеспечения/плагинов безопасности, которые нужно периодически обновлять и следить за тем, не обнаружились ли в них самих уязвимости. При этом процедура «цементирования» возможна на любом виртуальном (shared) хостинге с возможностью изменений в php.ini файле, а также на VDS серверах, и не мешает штатному функционированию сайта, который теперь работает в защищенном режиме, а веб-мастера и администраторы сайта все также могут его поддерживать, обновлять и развивать.

Наши услуги ИБ

Акция «3 по цене 1»
Подключите до 3х сайтов к услуге "Сайт под наблюдением" всего за 7500 2500 / мес. Скидка 66% только до конца года.
Акция действует только до 31 декабря 2017 года.
При подключении услуги "Сайт под наблюдением" для одного сайта, второй и третий на том же аккаунте подключаются бесплатно. Последующие сайты на аккаунте — 1500 руб в месяц за каждый сайт.