10 советов по улучшению безопасности вашего сайта

10 советов по улучшению безопасности вашего сайта

Наличие веб-сайта, благодаря распространению великолепных инструментов и услуг в сфере веб-разработки, стало обыденным делом. Системы управления контентом (CMS), такие как MODX Revo, WordPress, Joomla, Drupal, Magento и другие, позволяют владельцам бизнеса быстро создавать присутствие в Интернете.

Сильно расширяемые архитектуры CMS, богатые плагины и эффективные модули сократили необходимость потратить годы на изучение веб-разработки, прежде чем приступить к созданию веб-сайта.

Легкость запуска онлайн-бизнеса или персонального веб-сайта велика. Тем не менее, есть некоторые негативные побочные эффекты. Мы видим много веб-мастеров, которые не понимают, как обеспечить безопасность своего веб-сайта. Существует недоразумение, когда речь заходит о важности защиты своего веб-сайта и о том, чья это ответственность.

Сегодня давайте посмотрим, какие 10 главных шагов должны предпринять все владельцы веб-сайтов для обеспечения безопасности своего веб-сайта.

1 - Обновление

Бесчисленные сайты подвергаются риску каждый день из-за устаревшего и небезопасного программного обеспечения.

Невероятно важно обновить ваш сайт, как только появится новый плагин или версия CMS. Эти обновления могут содержать улучшения безопасности или исправлять уязвимости.

Большинство атак на сайты автоматизированы. Боты постоянно сканируют каждый сайт, чтобы найти новые возможности для использования. Этого уже недостаточно для обновления один раз в месяц или даже раз в неделю, потому что боты, скорее всего, найдут уязвимость, прежде чем ее исправлять.

Вот почему мы рекомендуем использовать брандмауэр веб-сайта, который практически исправит дыру в безопасности, как только будут выпущены обновления.

Если у вас есть сайт WordPress, я лично рекомендую плагин ‘WP Updates Notifier‘. Он отправляет вам электронное письмо, чтобы сообщить, когда плагин или обновление ядра WordPress доступны.

2 - Пароли

Наличие безопасного веб-сайта во многом зависит от вашего состояния безопасности. Вы когда-нибудь задумывались о том, как используемые вами пароли могут угрожать безопасности вашего сайта?

Чтобы очистить зараженные веб-сайты, нам часто нужно заходить на клиентский сайт или сервер, используя их данные администратора. Это шокирует, насколько небезопасными могут быть пароли root. С такими логинами, как admin / admin, вы можете вообще не иметь никакого пароля.

В Интернете есть много списков взломанных паролей. Хакеры объединяют их со списками словарных слов, чтобы генерировать еще большие списки потенциальных паролей. Если используемые вами пароли находятся в одном из этих списков, это всего лишь вопрос времени, когда ваш сайт будет взломан.

Наши советы для вас, чтобы иметь надежный пароль:

• Не используйте ваши пароли повторно. Каждый ваш пароль должен быть уникальным. Менеджер паролей может сделать это проще.
• Есть длинные пароли. Попробуйте длиннее 12 символов. Чем длиннее пароль, тем дольше будет взломана компьютерная программа.
• Используйте случайные пароли. Программы для взлома паролей могут угадать миллионы паролей за считанные минуты, если они содержат слова, найденные в Интернете или в словарях. Если в вашем пароле есть настоящие слова, это не случайно. Если вы можете легко произнести свой пароль, значит, он недостаточно силен. Даже использования замены символов (то есть замены буквы O на номер 0) недостаточно.
• Есть несколько полезных менеджеров паролей, таких как «LastPass» (онлайн) и «KeePass 2» (оффлайн).

Эти блестящие инструменты хранят все ваши пароли в зашифрованном формате и могут легко генерировать случайные пароли одним нажатием кнопки. Менеджеры паролей позволяют использовать надежные пароли, убирая работу по запоминанию более слабых или записывая их.

3 - один сайт = один сервер

Мы понимаем, что размещение многих сайтов на одном сервере может показаться идеальным, особенно если у вас есть «неограниченный» план веб-хостинга. К сожалению, это одна из худших практик безопасности, которую мы обычно видим. Размещение множества сайтов в одном месте создает очень большую поверхность атаки.

Вы должны знать, что перекрестное загрязнение очень распространено. Это когда на сайт негативно влияют соседние сайты на одном сервере из-за плохой изоляции на сервере или конфигурации учетной записи.

Например, сервер, содержащий один сайт, может иметь одну установку WordPress с темой и 10 плагинов, которые могут быть потенциально нацелены злоумышленником.

Если вы сейчас размещаете 5 сайтов на одном сервере, у злоумышленника может быть три установки WordPress, две установки OpenCart, пять тем и 50 плагинов, которые могут быть потенциальными целями. Что еще хуже, после того, как злоумышленник обнаружит эксплойт на одном сайте, инфекция может легко распространиться на другие сайты на том же сервере.

Это может не только привести к тому, что все ваши сайты будут одновременно взломаны, но и сделать процесс очистки намного более длительным и трудным. Зараженные сайты могут продолжать заражать друг друга, вызывая бесконечный цикл.

После того, как очистка прошла успешно, теперь у вас есть гораздо более сложная задача, когда дело доходит до сброса ваших паролей. Вместо одного сайта у вас есть несколько из них. Каждый пароль, связанный с каждым веб-сайтом на сервере, должен быть изменен после того, как инфекция прошла.

Это включает в себя все ваши базы данных CMS и пользователей протокола передачи файлов (FTP) для каждого из этих веб-сайтов. Если вы пропустите этот шаг, все сайты могут быть повторно заражены, и вы вернетесь к исходной точке.

4 - Разумный доступ пользователя

Это правило применяется только к сайтам с несколькими пользователями или логинами. Важно, чтобы у каждого пользователя было соответствующее разрешение, необходимое для выполнения его работы.

Если повышенные разрешения необходимы на мгновение, предоставьте их. Затем уменьшите его, как только работа будет завершена. Эта концепция известна как наименее привилегированная.

Например, если кто-то хочет написать для вас гостевой блог, убедитесь, что его учетная запись не имеет полных прав администратора. Аккаунт вашего друга должен иметь возможность только создавать новые сообщения и редактировать свои собственные сообщения, потому что им не нужно изменять настройки сайта.

Тщательно определенные роли пользователей и правила доступа ограничат любые ошибки, которые могут быть допущены. Это также уменьшает количество скомпрометированных учетных записей и может защитить от ущерба, нанесенного «мошенническими» пользователями.

Это часто пропускаемая часть управления пользователями: подотчетность и мониторинг. Если несколько человек используют одну учетную запись пользователя и этот пользователь вносит нежелательные изменения, как вы узнаете, какой человек в вашей команде был ответственным?

Если у вас есть отдельные учетные записи для каждого пользователя, вы можете следить за его поведением, просматривая журналы и узнавая их обычные тенденции, например, когда и где они обычно обращаются к веб-сайту. Таким образом, если пользователь входит в систему в неурочный час или из подозрительного местоположения, вы можете провести расследование.

Ведение журналов аудита жизненно важно для отслеживания любых подозрительных изменений на вашем веб-сайте. Журнал аудита - это документ, который записывает события на веб-сайте, чтобы вы могли обнаружить аномалии и подтвердить ответственному лицу, что учетная запись не была взломана.

Мы знаем, что некоторым пользователям может быть трудно вести журналы аудита вручную. Если у вас есть сайт на PrestaShop, вам придется покупать платный плагин безопасности.

5 - Изменить настройки CMS по умолчанию!

Современные приложения CMS (хотя и простые в использовании) могут быть сложными с точки зрения безопасности для конечных пользователей. Безусловно, наиболее распространенные атаки на веб-сайты полностью автоматизированы. Многие из этих атак полагаются на то, что пользователи имеют только настройки по умолчанию.

Это означает, что вы можете избежать большого количества атак, просто изменив настройки по умолчанию при установке выбранной вами CMS.

Например, некоторые приложения CMS доступны для записи пользователем, что позволяет пользователю устанавливать любые расширения, которые они хотят.

Существуют настройки, которые вы, возможно, захотите настроить, чтобы контролировать комментарии, пользователей и видимость вашей пользовательской информации. Права доступа к файлам (о которых мы поговорим позже) являются еще одним примером настройки по умолчанию, которая может быть усилена.

Вы можете изменить эти данные по умолчанию при установке CMS для сайтов или более поздней версии, но не забудьте сделать это.

6 - Расширение выбора

Расширяемость CMS - это то, что обычно любят веб-мастера, но это также может быть одной из самых слабых сторон. Существуют плагины, дополнения и расширения, которые предоставляют практически любую функциональность, которую вы можете себе представить. Но как узнать, какой из них безопасно установить?

Вот что я всегда ищу, решая, какие расширения использовать:

• Когда расширение последний раз обновлялось: если последнее обновление было больше года назад, я беспокоюсь, что автор прекратил работу над ним. Я предпочитаю использовать расширения, которые активно разрабатываются, потому что это указывает на то, что автор, по крайней мере, захочет внедрить исправление, если обнаружатся проблемы с безопасностью. Кроме того, если расширение не поддерживается автором, оно может перестать работать, если обновления ядра вызывают конфликты.
• Возраст расширения и количество установок. Расширение, разработанное известным автором с многочисленными установками, заслуживает большего доверия, чем расширение, выпущенное впервые разработчиком с небольшим количеством установок. Опытные разработчики не только лучше понимают лучшие методы обеспечения безопасности, но и гораздо реже наносят ущерб своей репутации, вставляя вредоносный код в свое расширение.
• Законные и надежные источники: загрузите свои плагины, расширения и темы из законных источников. Остерегайтесь бесплатных версий пиратских и зараженных вредоносными программами. Существуют некоторые расширения, единственная цель которых - заразить как можно больше сайтов вредоносными программами.

7 - Резервные копии

Взломанный сайт - это не то, что вы хотели бы испытать, но вы не хотите, чтобы вас застали врасплох, если случится худшее.

Резервное копирование веб-сайтов имеет решающее значение для восстановления вашего сайта после серьезного инцидента безопасности. Хотя это не следует рассматривать как замену решения по обеспечению безопасности веб-сайта, резервное копирование может помочь восстановить поврежденные файлы.

Хорошее решение для резервного копирования должно отвечать следующим требованиям:

1. Во-первых, они должны быть вне сайта. Если ваши резервные копии хранятся на сервере вашего веб-сайта, они также уязвимы для атак, как и все остальное. Вы должны хранить свои резервные копии вне сайта, потому что вы хотите, чтобы ваши сохраненные данные были защищены от хакеров и от аппаратного сбоя. Хранение резервных копий на вашем веб-сервере также представляет серьезную угрозу безопасности. Эти резервные копии неизменно содержат непатентованные версии вашей CMS и расширений, предоставляя хакерам легкий доступ к вашему серверу.
2. Во-вторых, ваши резервные копии должны быть автоматическими. Вы делаете так много вещей каждый день, что необходимость помнить о резервном копировании вашего сайта может быть немыслимой. Используйте решение для резервного копирования, которое может быть запланировано для удовлетворения потребностей вашего сайта.

Чтобы закончить, имейте надежное восстановление. Это означает наличие резервных копий ваших резервных копий и их тестирование, чтобы убедиться, что они действительно работают. Вам понадобится несколько резервных копий для резервирования. Делая это, вы можете восстановить файлы с момента до взлома.

8 - Файлы конфигурации сервера

Ознакомьтесь с файлами конфигурации вашего веб-сервера:

• Веб-серверы Apache используют файл .htaccess,
• Серверы Nginx используют nginx.conf,
• Серверы Microsoft IIS используют web.config.
• Файлы конфигурации сервера, наиболее часто встречающиеся в корневом веб-каталоге, являются очень мощными. Они позволяют вам выполнять правила сервера, включая директивы, которые повышают безопасность вашего сайта.

Если вы не уверены, какой веб-сервер вы используете, запустите ваш сайт через Sitecheck и перейдите на вкладку «Сведения о веб-сайте».

Вот несколько правил, которые я рекомендую вам изучить и добавить для вашего конкретного веб-сервера:

• Запретить просмотр каталога: это предотвращает просмотр злоумышленниками содержимого каждого каталога на веб-сайте. Ограничение информации, доступной злоумышленникам, всегда является полезной мерой безопасности.
• Запретить хотлинкинг изображений: хотя это не является исключительно улучшением безопасности, оно не позволяет другим веб-сайтам отображать изображения, размещенные на вашем веб-сервере. Если люди начнут хотлинкировать изображения с вашего сервера, пропускная способность вашего хостинг-плана может быстро сгореть при отображении изображений для чужого сайта.
• Защита конфиденциальных файлов: вы можете установить правила для защиты определенных файлов и папок. Файлы конфигурации CMS являются одним из наиболее важных файлов, хранящихся на веб-сервере, поскольку они содержат данные для входа в базу данных в виде простого текста. Другие местоположения, такие как области администратора, могут быть заблокированы. Вы также можете ограничить выполнение PHP в каталогах, которые содержат изображения или разрешают загрузку.

9 - Установить SSL

SSL является аббревиатурой от Secure Sockets Layer. Это стандартная технология безопасности для установления зашифрованной связи между веб-сервером и браузером.

Я не решался включить SSL в качестве подсказки для повышения безопасности вашего сайта, потому что есть много вводящей в заблуждение информации, предполагающей, что установка SSL решит все ваши проблемы безопасности.

Давайте проясним ситуацию: SSL ничего не делает для защиты вашего сайта от вредоносных атак и не мешает ему распространять вредоносные программы.

SSL шифрует связь между точкой A и точкой B - он же сервер веб-сайта и браузер посетителя. Это шифрование важно по одной конкретной причине. Он предотвращает возможность перехвата трафика, известного как атака «Человек посередине» (MITM). SSL - отличный способ защитить пароли и информацию о кредитной карте (а также другие конфиденциальные данные), а такие инициативы, как Let Encrypt, сделали его доступным для всех.

Благодаря тому, что Google пытается пометить веб-сайт HTTP как «Незащищенный», SSL становится критически важным для всех веб-сайтов. Принудительное использование HTTPS неизбежно для веб-сайтов электронной коммерции и для любого веб-сайта, который принимает отправку форм с конфиденциальными данными пользователя или личной информацией (PII).

Сертификат SSL защищает информацию ваших посетителей в пути, что, в свою очередь, защищает вас от штрафов и юридических проблем, которые могут быть найдены как несовместимые с PCI DSS.

Если вы думаете об установке SSL на своем сайте, вы можете узнать больше, следуя нашему руководству.

10 - Права доступа к файлам

Права доступа к файлу определяют, кто может что делать с файлом.

Каждый файл имеет 3 доступных разрешения, и каждое разрешение представлено числом:

• ‘Читать‘ (4): просмотреть содержимое файла.
• ‘Запись‘ (2): изменить содержимое файла.
• ‘Выполнить‘ (1): запустить файл программы или сценарий.
• Если вы хотите разрешить несколько разрешений, просто сложите числа вместе, например, чтобы разрешить чтение (4) и запись (2), вы устанавливаете разрешение пользователя равным 6. Если вы хотите разрешить пользователю чтение (4), запись (2) и выполнение (1), то вы устанавливаете разрешение пользователя равным 7.

Есть также 3 типа пользователей:

1. Владелец - обычно создатель файла, но это можно изменить. Только один пользователь может быть владельцем.
2. Группа - каждому файлу назначается группа, и любой пользователь, входящий в эту группу, получит эти разрешения.
3. Публичный - Все остальные.

Итак, если вы хотите, чтобы владелец имел права на чтение и запись, группа имела доступ только на чтение, а публика не имела доступа, параметры разрешения доступа к файлам должны быть следующими:

Написать, прочитать, выполнить

При просмотре прав доступа к файлу это будет показано как 640.

Папки также имеют одинаковую структуру разрешений. Единственное отличие состоит в том, что флаг «execute» позволяет вам сделать каталог вашим рабочим каталогом.

Большинство установок CMS имеют все разрешения, правильно настроенные по умолчанию. Так почему я просто потратил столько времени на объяснение того, как работают разрешения? При поиске решений для ошибок разрешений по всему Интернету вы найдете дезинформированных людей, которые советуют вам изменить разрешения для файлов на 666 или разрешения для папок на 777.

Этот совет обычно исправляет любые ошибки прав доступа, но это ужасный совет с точки зрения безопасности.

Если вы установили для файла разрешение 666 или для папки 777, вы просто позволили любому вставить вредоносный код или удалить ваши файлы!