Вразливість інтернет-ресурсів – це величезна проблема, яка ніколи не втрачає своєї актуальності. У 2010 році сайти зламували, їх зламували в 2015-му, в 2020-му, і сьогодні їх теж будуть зламувати. Більш того, незважаючи на будь-які нововведення та вдосконалення системи безпеки, цей процес не зупинити. Тут ситуація дуже схожа на гонку озброєнь – спочатку придумують зброю, наприклад танк, потім придумують протитанкові засоби. Потім танк вдосконалюється, а разом з ним вдосконалюють і протитанкові засоби.
Даний процес закономірний і може тривати до нескінченності, тим більше, коли мова йде про такі тонкі матерії як інформація і безпека даних в інтернеті. Адже глобалізація йде в ногу з розвитком інформаційних технологій, це також – закономірно. Не треба думати, що якщо різні хакерські спільноти і окремі особи постійно придумують нові способи для обходу систем безпеки, то виходу немає. Навпаки, вихід якраз і полягає в безперервному вдосконаленні безпеки, а ще в дотриманні основоположних принципів, про які ми сьогодні і поговоримо.
Постійний аналіз
Аналіз інтернет-сайту, який проводиться на постійній основі, в чітко визначені проміжки часу – це один із стовпів безпеки. Загрози можуть бути різними, і ваше завдання на даному етапі проводити регулярні перевірки з метою виявлення цих самих загроз. У цій нелегкій справі можуть допомогти, по-перше, особиста ініціатива і серйозний підхід, а по-друге – спеціальні додатки, наприклад MTvScan. Цей сервіс не єдиний, їх зараз на ринку чимало.
Головне, що такий сервіс буде регулярно сканувати ваш сайт, за рахунок чого ви отримаєте захист від безлічі різноманітних загроз. Тут не можна не відзначити, що багато хостинг-провайдерів України пропонують базовий захист безкоштовно, однак, його якість може викликати питання. Просунутий захист, який дійсно може дати реальні результати, буде коштувати вам грошей. Тому, якщо є бажання трохи заощадити щомісяця бюджет – заповніть ці прогалини самостійно, за допомогою вищезгаданих сервісів. Інше питання, що такі сервіси безпеки теж коштують грошей, але, часом, суми просто не можна порівняти, а сезонні розпродажі і зовсім роблять питання сканування безпеки сайту більш ніж доступним.
Використання якісного ПЗ
Торкаючись цього питання, слід відразу сказати, що якісне – не означає дороге. Хоча, нерідко ці два поняття пов’язані між собою. Розробники програмного забезпечення регулярно проводять аналіз вразливостей і створюють оновлення, що вирішує більшість питань безпеки.
З іншого боку, навіть використання надійного, якісного програмного забезпечення, яке ви купили (а не отримали безкоштовну версію), не дає гарантій, і ось чому. Хороше ПЗ коштує грошей, і, найчастіше, використовується там, де працюють гроші. А для зловмисників це і є привабливим, адже хакери полюють саме за грошима, а ще за інформацією, яка коштує грошей і захищається серйозним ПЗ. І тут ми повертаємося до аналогії, згаданої на початку статті – безперервна гонка озброєнь. Або, якщо хочете, інтернет-технологій.
До речі, великі компанії нерідко замовляють ПЗ в індивідуальному порядку, з постійною підтримкою та оновленнями. Для розробників подібні замовлення є пріоритетними, а тому і обслуговують їх значно якісніше, приділяючи пильну увагу.
Своєчасне оновлення
Щойно ми говорили про те, що при купівлі якісного ліцензійного ПЗ ви можете розраховувати на регулярні оновлення від його розробників. Однак, тут автоматично виникає і друге питання – навіть якщо розробники вчасно випустили оновлення, його ще потрібно завантажити. Автооновлення актуально далеко не завжди.
Оновлювати потрібно не тільки окремі програми, але і, наприклад, CMS-системи, а ще операційну систему. WordPress, Drupal, Joomla і т.д. – будь-яка CMS потребує оновлень, причому, ті ж плагіни, або модулі Drupal, теж. Якщо ви використовуєте старе програмне забезпечення, це автоматично означає, що у вашій системі величезні дірки. Тут принцип досить простий – зловмисники знаходять вразливість і проникають через цю умовну дірку, потім розробники цю вразливість знаходять, випускають оновлення для того, щоб ви могли залатати дірку, але ви не звертаєте уваги і ваш корабель продовжує подорож з пробоїною, через яку на борт проникають різноманітні шкідливі сутності.
Видаляйте старе ПЗ, яким ви не користуєтеся
Іноді ви можете помітити ситуацію – ви завантажили додаток на телефон, користувалися ним кілька місяців (а іноді і кілька тижнів), а потім просто про нього забули. Додаток не оновлюється, не використовується, і просто висить мертвим вантажем, хоча, оновлення на нього виходять, в тому числі і оновлення безпеки. Ви, звичайно ж, не завантажуєте їх, та й навіщо? Додаток все одно не використовується. Це лише приклад, але він добре демонструє так званий людський фактор. Будь-яке ПЗ, яке ви встановили для роботи з вашим сайтом, або використовується вами і регулярно оновлюється, або підлягає видаленню. Це повинно стати правилом.
Наприклад, модулі Drupal або плагіни WordPress часто випускаються сторонніми розробниками, їх безліч, спочатку вам хочеться спробувати все, ви завантажуєте, пробуєте, іноді не знаходите того, що шукали, і завантажуєте новий модуль. А старий, тим часом, нікуди не подівся, ви його не оновлюєте і не видаляєте, і вразливості тільки зростають. Хакер з досвідом завжди знає, як використовувати подібні дірки. Тому – не давайте зловмисникам таких можливостей.
Складні паролі
Це питання завжди актуальне, як 20 років тому, так і зараз. Не йдіть шляхом спрощення – використовуйте дійсно складний пароль, що включає в себе випадкові літери, цифри і спеціальні символи. Сучасні сервіси іноді пропонують автоматичну генерацію випадкових складних паролів. Для доступу до вашого облікового запису на хостингу складний пароль просто необхідний.
SSL сертифікат
Ми не будемо детально торкатися цього питання в рамках цієї статті, оскільки всю інформацію ви можете прочитати в нашому окремому матеріалі – «SSL-сертифікат – що це таке і навіщо він потрібен сайту?». Тут ми зазначимо лише те, що сертифікат безпеки сайту є вкрай важливим аспектом шифрування даних, який, у свою чергу, забезпечує не тільки безпеку інформації, але й допомагає сайту зберігати репутацію та позиції в пошуковій видачі. Ігнорувати SSL не варто, тим більше, що більшість провайдерів пропонують базовий SSL безкоштовно при оплаті послуг хостингу або оренди сервера.
Економія повинна бути… адекватною
Коли ви замовляєте послугу хостингу або орендуєте сервер, будь то хмарний сервер або фізичний, завжди виникає питання безпеки. Якщо у вас є односторінковий сайт-візитка, який не оперує жодними особистими даними клієнтів, платіжними картками та іншим, проблем немає. Але якщо є операції з платіжними даними і конфіденційною інформацією, все зовсім інакше. Зазвичай, кожен поважаючий себе провайдер, як ми вже згадували вище, пропонує базовий захист безкоштовно, і просунутий – за певну плату. Серед таких послуг можна виділити антивірусний захист сайту і захист від DDos-атак. Пропонуються також і послуги просунутого адміністрування серверів. Нехтувати подібними послугами з економії не варто, так як в майбутньому економія на малому може вилитися в серйозні втрати, і усунення наслідків зажадає від вас додаткових витрат. Скупий, як відомо, платить двічі.
Підводячи підсумки…
Як бачите, перераховані вище правила не є якимись нездійсненними завданнями. Все досить предметно, просто і реалізується. В основному, це лише вимагає від вас уваги до деталей, до тих самих деталей, які ви, можливо, не вважали важливими. У нашому блозі є й інші статті щодо вразливостей у мережі, а також інші цікаві матеріали. Рекомендуємо з ними ознайомитися.
