Защита сайта

Безопасность веб-ресурсов и различных систем, доступность к которым обеспечивается через интернет, уже не первый год беспокоит специалистов, отвечающих за их работоспособность.

С самого начала изобретения интернета практика его использования показала, что к существующим угрозам нельзя относиться безответственно. Когда-то были взломаны сайты американского СитиБанка, НАТО, ЦРУ. Нет ощущения безопасности и у современных владельцев сайтов.

Безусловно, безопасность и защищенность сайтов в большей мере зависит от конфигурирования сервера, от правильной настройки установленной на нем операционной системы, от дополнительного сетевого оборудования. Но так как основная масса веб-мастеров размещает свои проекты на виртуальном хостинге, то и влиять на перечисленные факторы они не могут. Эти функции находятся за пределами их возможностей. Отметим, что для компании, делающей свой бизнес на продажах и сопровождении программного обеспечения 1с бухгалтерия, например, наличие надежного сервера – главнейшая задача.

Как правило, наиболее крупные и известные хостеры занимаются администрированием своих серверов достаточно грамотно. Взломать их системы – дело не простое, требующее значительных усилий и высокой хакерской квалификации. В то же время, сайт, расположенный на идеально защищенном сервере, все-таки не застрахован от самых простых и элементарных ошибок, допускаемых самими владельцами ресурсов. Что нужно знать, чтобы не открыть «ворота» сайта для взломщиков?

Менее устойчивы к взлому сайты, установленные на CMS. Визуальный редактор, конечно, удобен, он позволяет вносить изменения и заниматься администрированием ресурса удаленно, но громоздкие скрипты делают сайт более уязвимым для взлома и незащищенным от DDoS-атак.

Если без использования скриптов не обойтись и отказаться от них нельзя, то следует более ответственно подойти к их выбору и установке. Сегодня существует немало различных движков и скриптов для сайта. Среди них встречаются платные коммерческие версии, но есть и бесплатные, которые можно свободно скачать и установить на своем ресурсе. Проблемы с безопасностью есть и у тех, и у других.

Перед тем как использовать выбранный скрипт, следует найти о нем информацию на специализированных форумах, чтобы убедиться в устойчивости данного скрипта к взлому. Нежелательно пользоваться самыми свежими версиями скриптов, которые не успели пройти проверку временем. Наилучший вариант – это версии, которые уже продолжительное время используются на большом количестве сайтов: вероятность наличия дыр в них минимальна.

После установки скрипта следует время от времени заглядывать на официальный сайт, где выполняется поддержка данного скрипта. Если уязвимости будут обнаружены, то новые обновления или патчи следует скачать и установить, чтобы как можно быстрее ликвидировать уязвимость.

Стоит отметить, что многие солидные сайты не обходятся без форм обратной связи. Например, ресурс, посвященный разработке и сопровождению программного продукта 1с предприятие, обычно имеет форму заказа или предоставляет возможность оставлять сообщения. Если в скрипте не предусмотрена фильтрация данных, то любой пользователь может в форму для комментариев к статье ввести код на языке программирования, который будет выполняться при загрузке страницы.

Такой фокус вполне может сделать страницу нерабочей. Возможна также кража пароля администратора, а следовательно и получение доступа к его функциям. Недостаточная фильтрация, пожалуй, самая распространенная ошибка, которая снижает безопасность ресурса.

Похожие публикации: