Уязвимость интернет ресурсов – это огромная проблема, которая никогда не теряет своей актуальности. В 2010-м году сайты взламывали, их взламывали в 2015-м, в 2020-м, и сегодня их тоже будут взламывать. Более того, несмотря ни на какие нововведения и усовершенствования системы безопасности, этот процесс не остановить. Здесь ситуация очень похожа на гонку вооружений – сперва придумывают оружие, например танк, потом придумывают противотанковые средства. Потом танк совершенствуется, а вместе с ним совершенствуют и противотанковые средства.
Данный процесс закономерен и может продолжаться до бесконечности, тем более, когда речь идёт о таких тонких материях как информация и безопасность данных в интернете. Ведь глобализация идёт в ногу с развитием информационных технологий, это также — закономерно. Не надо думать, что если различные хакерские сообщества и отдельные личности постоянно придумывают новые способы для обхода систем безопасности, то выхода нет. Напротив, выход как раз и состоит в непрерывном совершенствовании безопасности, а ещё в соблюдении основополагающих принципов, о которых мы сегодня и поговорим.
Постоянный анализ
Анализ интернет сайта, который проводится на постоянной основе, в чётко означенные промежутки времени – это один из столпов безопасности. Угрозы могут быть различными, и ваша задача на данном этапе проводить регулярные проверки, с целью выявления этих самых угроз. В данном нелёгком деле может помочь, во-первых, личная инициатива и серьезный подход, а во вторых – специальные приложения, например MTvScan. Данный сервис не единственный, их сейчас на рынке немало.
Главное, что такой сервис будет регулярно сканировать ваш сайт, за счёт чего вы получите протекцию от массы разнообразных угроз. Здесь нельзя не отметить, что многие хостинг-провайдеры Украины предлагают базовую защиту бесплатно, однако, её качество может вызывать вопросы. Продвинутая защита, которая действительно может дать реальные результаты, будет стоить вам денег. Потому, если есть желание немного сэкономить ежемесячно бюджет – восполните данные пробелы самостоятельно, с помощью вышеупомянутых сервисов. Другой вопрос, что такие сервисы безопасности тоже стоят денег, но, порой, суммы просто несравнимы, а сезонные распродажи и вовсе делают вопрос сканирования безопасности сайта более чем доступным.
Использование качественного ПО
Касаясь данного вопроса, следует сразу сказать, что качественное — не значит дорогое. Хотя, нередко эти два понятия связаны между собой. Разработчики программного обеспечения регулярно проводят анализ уязвимостей и создают обновления, что решает большинство вопросов безопасности.
С другой стороны, даже использование надёжного, качественного программного обеспечения которое вы купили (а не получили бесплатную версию), не дает гарантий, и вот почему. Хорошее ПО стоит денег, и, зачастую, используется там, где работают деньги. А для злоумышленников это и является привлекательным, ведь хакеры охотятся именно за деньгами, а ещё за информацией, которая стоит денег и защищается серьезным ПО. И здесь мы возвращаемся к аналогии, упомянутой в начале статьи — непрерывная гонка вооружений. Или, если хотите, интернет-технологий.
Кстати, крупные компании нередко заказывают ПО в индивидуальном порядке, с постоянной поддержкой и обновлениями. Для разработчиков подобные заказы в приоритете, а потому и обслуживают их значительно качественнее, уделяя пристальное внимание.
Своевременное обновление
Только что мы говорили о том, что при покупке качественного лицензионного ПО вы можете рассчитывать на регулярные обновления от его разработчиков. Однако, здесь автоматически возникает и второй вопрос – даже если разработчики вовремя выпустили обновление, его ещё нужно загрузить. Автообновление актуально далеко не всегда.
Обновлять нужно не только отдельные программы, но и, например, CMS-системы, а ещё операционную систему. WordPress, Drupal, Joomla и т.д. — любая CMS нуждается в обновлениях, причём, те же плагины, или модули Drupal, тоже. Если вы используете старое программное обеспечение, это автоматически означает, что в вашей системе огромные дыры. Здесь принцип довольно прост – злоумышленники находят уязвимость, и проникают через эту условную дыру, потом разработчики эту уязвимость находят, выпускают обновления для того чтобы вы могли залатать дыру, но вы не обращаете внимания и ваш корабль продолжает путешествие с пробоиной, через которую на борт проникают разнообразные вредные сущности.
Удаляйте старое ПО, которым вы не пользуетесь
Иногда вы можете заметить ситуацию – вы скачали приложение на телефон, пользовались им несколько месяцев (а иногда и несколько недель), а потом просто про него забыли. Приложение не обновляется, не используется, и просто висит мёртвым грузом, хотя, обновления на него выходят, в том числе и обновления безопасности. Их вы, конечно же, не качаете, да и зачем? Приложение все равно не используется. Это всего лишь пример, но он хорошо демонстрирует так называемый человеческий фактор. Любое ПО, которое вы установили для работы с вашим сайтом, либо используется вами и регулярно обновляется, либо подвергается удалению. Это должно стать правилом.
Например, модули Drupal или плагины WordPress зачастую выпускаются сторонними разработчиками, их множество, поначалу вам хочется попробовать всё, вы скачиваете, пробуете, иногда не находите того что искали и скачиваете новый модуль. А старый, тем временем, никуда не делся, вы его не обновляете и не удаляете, и уязвимости только растут. Хакер с опытом всегда знает как использовать подобные дыры. Потому — не давайте злоумышленникам таких возможностей.
Сложные пароли
Данный вопрос всегда имеет актуальность, как 20 лет назад, так и сейчас. Не идите путём упрощения – используйте действительно сложный пароль, включающий в себя случайные буквы, цифры и специальные символы. Современные сервисы иногда предлагают автоматическую генерацию рандомных сложных паролей. Для доступа к вашему аккаунту на хостинге сложный пароль просто необходим.
SSL сертификат
Мы не будем подробно касается данного вопроса в рамках этой статьи, так как всю информацию вы можете прочитать в нашем отдельном материале — «SSL сертификат — что это такое и зачем он нужен сайту?«. Здесь мы отметим лишь то, что сертификат безопасности сайта является крайне важным аспектом шифрования данных, который, в свою очередь, обеспечивает не только безопасность информации, но и помогает сайту сохранять репутацию и позиции в поисковой выдаче. Игнорировать SSL не стоит, тем более, что большинство провайдеров предлагают базовый SSL бесплатно при оплате услуг хостинга или аренды сервера.
Экономия должна быть… адекватной
Когда вы заказываете услугу хостинга или арендуете сервер, будь то облачный сервер или физический, всегда возникает вопрос безопасности. Есть ли у вас одностраничный сайт визитка, который не оперирует никакими личными данными клиентов, платёжными картами и прочим, проблем нет. Но если имеются операции с платёжными данными и конфиденциальной информацией, все совсем иначе. Обычно, каждый уважающий себя провайдер, как мы уже упоминали выше, предлагает базовую защиту бесплатно, и продвинутую – за определённую плату. Среди таких услуг можно выделить антивирусную защиту сайта и защиту от DDos-атак. Предлагаются также и услуги продвинутого администрирования серверов. Пренебрегать подобными услугами из экономии не стоит, так как в будущем экономия на малом может вылиться в серьезные потери, и устранение последствий потребует от вас дополнительных расходов. Скупой, как известно, платит дважды.
Подводя итоги..
Как видите, вышеперечисленные правила не представляют собой какие-то невыполнимые задачи. Все довольно предметно, просто и реализуемо. В основном, это лишь требует от вас внимания к деталям, к тем самым деталям, которые вы, возможно, не считали важными. В нашем блоге есть и другие статьи относительно уязвимостей в сети, а также другие интересные материалы. Рекомендуем с ними ознакомиться.