Взлом сайта — событие, когда посторонний пользователь (независимо от способа) получает доступ к файлам сайта, хранящимся на сервере, без вашего согласия.
Содержание
Обычно сайты подвергаются взлому с целью заражения компьютеров его посетителей или использования сервера для массовой рассылки спама и размещения скрытых ссылок на сайты злоумышленников. Также взлом может быть направлен на кражу конфиденциальной информации или для вымогательства денег у владельцев сайта. Кроме того, конкуренты могут наносить ущерб друг другу, нарушая бизнес-процессы.
Методы взлома сайтов и способы защиты
Кража паролей от FTP и хостинга
Если вы передаете кому-то пароли от FTP/хостинг-аккаунта или административной панели сайта, убедитесь, что они не будут переданы третьим лицам.
Рекомендуется ограничиться предоставлением только паролей к FTP. Если требуется доступ к хостинг-аккаунту, лучше воспользоваться функционалом хостера, чтобы избежать рисков.
Решение
Измените пароли на более сложные и длинные. Избегайте предоставления паролей от хостинг-аккаунта и FTP кому-либо, кроме проверенных лиц. Если предоставление необходимо, удостоверьтесь, что компьютер получателя не заражен вирусами, и что он надёжен и не передаст пароли третьим лицам или не нанесёт вред вашему проекту. Многие провайдеры предоставляют функционал временного доступа к хостинг-аккаунту.
Вирусы на вашем компьютере
Не зря повсюду рекомендуют проверять компьютер на наличие вирусов и регулярно обновлять антивирусное ПО. Если ваш компьютер заражён вирусами, вероятность кражи логинов и паролей к различным аккаунтам (почта, интернет-банкинг, админка сайта и др.) очень высока.
Решение
Не храните пароли на компьютере и в браузере. Регулярно проверяйте компьютер на вирусы и удаляйте их при необходимости. Также важно регулярно обновлять антивирусы. Используйте только проверенное и надёжное антивирусное ПО или переходите на операционные системы типа UNIX.
Взлом по вине хостера
Хотя взлом по вине хостинг-провайдера возможен, это редкое явление среди крупных провайдеров. Однако мы не рекомендуем пользоваться услугами мелких и ненадёжных компаний.
Решение
Размещайте сайты на надёжных хостинг-провайдерах с хорошей репутацией и большим количеством клиентов. Все хостеры рейтинга Hosting10.ru — такие.
Взлом CMS
Не важно, какая у вас система управления сайтом — платная, бесплатная или собственная. Если она популярна, то множество хакеров ищут в ней уязвимости для возможности взлома.
Решение
Обеспечьте актуальность вашей CMS до последней версии, загруженной с официального сайта разработчика. Если CMS разработана специально для вашего сайта, рекомендуется провести аудит безопасности.
Взлом через модули и плагины
Даже если базовая CMS (без установленных сторонних модулей и компонентов) трудно взламывается даже опытными хакерами, основной риск представляют расширения, созданные сторонними разработчиками. Например, при установке неофициального модуля комментариев, хакер может загрузить на ваш сайт PHP-скрипт вместо комментария или изображения, что позволит ему осуществить взлом.
Решение
Избегайте использования дополнительных расширений от ненадёжных разработчиков. Существует множество бесплатных плагинов, и не все из них представляют опасность для ваших сайтов. Загружайте плагины только из официальных источников.
Права доступа к файлам
Если у файла вашего сайта установлены права 777, это означает, что любой пользователь может читать, записывать и выполнить этот файл. Это может привести к тому, что хакер загрузит на ваш сайт PHP-код, который взломает его и предоставит ему контроль над сайтом.
Решение
Стремитесь к тому, чтобы все папки вашего сайта имели права доступа 755, а файлы — 644. Однако перед этим проконсультируйтесь с разработчиком CMS, хостером или опытным программистом, так как изменение прав доступа к файлам может повлиять на работу сайта.
SQL-инъекция
Большинство современных сайтов используют базы данных (SQL) для динамического формирования страниц в зависимости от действий пользователя. Этот процесс осуществляется с помощью SQL-запросов. Опытный хакер может использовать SQL-инъекцию, вводя входные данные, которые позволяют выполнить нужный ему SQL-код на сервере и, следовательно, взломать сайт.
Решение
В первую очередь важно использовать надёжные CMS, например, WordPress или 1С-Битрикс. Если вы знакомы с программированием, вы можете защититься от SQL-инъекций с помощью фильтрации SQL-запросов. Например, в PHP существует функция mysql_real_escape_string, которая удаляет потенциально опасный код из запросов.
Межсайтовый скриптинг (XSS)
Суть этой атаки заключается в том, что злоумышленник встраивает вредоносный код в поля для ввода логина, пароля и других данных, которые могут вводить пользователи.
Решение
Защититься от таких атак довольно сложно. Можно посоветовать использовать надёжную CMS или обратиться к опытному программисту. Если средств на программиста нет, можно поступить радикально и отключить функцию регистрации пользователей на сайте.
Заключение
Советы по безопасности сайта:
- Проверяйте свой компьютер и сайт на наличие вирусов. Функция есть в панели управления большинства хостеров.
- Размешайте сайт у хостера с ежедневным резервным копированием. Загружайте копии сайта на свой жёсткий диск.
- Сохраняйте log-файлы — они могут помочь выявить уязвимости сайта.
- Если на вашем сайте есть функции оплаты, используйте безопасный протокол HTTPS или внешние сервисы оплаты.
- Выбирайте хостинг-провайдера с защитой от DDoS-атак. Например, Timeweb, Beget, Sprinthost.
- Установите на свою CMS плагин безопасности. Например, Wordfence Security для WordPress.
Отзывы о Как улучшить защиту сайта — 8 методов взлома и защиты от них: