Для благополучного функционирования сайта ее владелец не в последнюю очередь должен уделять внимание безопасности и защите.
Ниже описаны меры, которые нужно предпринимать владельцам сайта, чтобы он не оказался заражен вирусами, хакерскими скриптами и мог не бояться веб-атак.
Установить защиту от вирусов
На сайте необходимо установить проактивную защиту. Основной ее функцией является блокировка веб-атак хакеров и недопущение несанкционированного доступа к административной панели и служебным файлам. Помимо этого проактивная защита осуществляет мониторинг и сохраняет информацию по веб-запросам (в том числе POST запросы) в лог. Это дает возможность при заражении провести детальный аудит.
Установленная проактивная защита выполняет следующие задачи:
- блокирует опасные запросы по http от ботов и хакеров;
- выполняет виртуальный патчинг уязвимостей скриптов CMS и защищает от:
- удаленного выполнения кода;
- локального и удаленного включения файлов;
- SQL инъекций;
- инъекций контента в страницы;
- несанкционированной загрузки произвольных скриптов;
- несанкционированного размещения спам — материалов и автопубликации спам — страниц;
- спама форм обратной связи и регистрации (при включенной защите от http флуда) и других видов уязвимостей и веб — атак на сайт.
- блокирует брутфорс — атаки и выполняет защиту от http флуда;
- ограничивает несанкционированный доступ к служебным каталогам и скриптам;
- позволяет ограничивать по IP доступ к страницам, блокировать по IP опасных ботов и вредоносные запросы;
- позволяет добавлять безопасные HTTP заголовки при генерации страниц;
- фильтрует запросы от недобросовестных веб — сервисов и опасных ботов;
- сохраняет запросы к сайту в журнале мониторинга.
Защита CMS
Доступ к административной панели CMS также следует защитить дополнительной парольной защитой. Данная мера закрывает ряд уязвимостей в панели управления, административном каталоге и не позволяет получить административный доступ к сайту злоумышленнику, даже если он перехватит или украдет логин и пароль от CMS.
Немаловажным является выбор CMS системы, на которой будет работать ваш сайт. Не все системы являются безопасными. Даже самые популярные из них не могут гарантировать, что ваш сайт не будет взломан. Стоит отталкиваться от того какие средства защиты предлагает та или иная система. Например, «1С-Битрикс», имеет множество инструментов, позволяющих предотвратить взлом или заражение вирусами.
Во-первых, это проактивный фильтр Битрикса, позволяющий защитить веб-приложения от атак. Среди запросов пользователей проактивная защита находит угрозы и не допускает взлом сайта. Проактивный фильтр — один из лучших способов защиты от ошибок безопасности, которые могли быть допущены при реализации интранет-проекта (XSS, SQL Injection, PHP Including и других).
Во-вторых, статистический анализатор кода, который указывает на потенциально уязвимые места в коде.
В-третьих, панель безопасности с уровнями защиты. Все проекты которые работают на CMS Битрикс, обладают начальным уровнем защиты. Уровни защиты можно настраивать. Можно выбрать: стандартный; высокий или повышенный.
В-четвертых, в CMS Битрикс встроен антивирус. Этот компонент защиты полностью соответствует общей концепции безопасности системы и в разы повышает защищенность и скорость реакции веб-приложения на веб-угрозы.
Помимо вышеперечисленных в «1С-Битрикс» ведется журнал вторжений, который регистрирует все события, происходящие в системе, в том числе необычные и злонамеренные. Для обеспечения безопасности доступа к Порталу удаленных сотрудников в новой версии реализована технология одноразовых паролей (One Time Password — OTP) на базе электронных ключей Aladdin eToken PASS для обеспечения аутентификации пользователя при доступе на Портал. Новая технология протестирована компанией Aladdin — лидирующий разработчик средств защиты информации. На основании тестирования выдан сертификат совместимости eToken PASS с «1С-Битрикс: Корпоративный портал 8.0». С помощью Bitrix OTP вы сможете самостоятельно включать или отключать использование на сайте системы одноразовых паролей для своей учетной записи. Это реализующее OTP программное обеспечение, разработанное компанией «1С-Битрикс», позволяет обойтись без покупки аппаратных устройств (например, Aladdin eToken PASS) или соответствующих программных аналогов.
Защита сервера
По защите сервера нужно сказать, что необходимо постоянно быть в курсе самых последних обновлений в программном обеспечении. Новое ПО дает больше возможностей для противодействия вашего сайта вирусам, вредоносным скриптам и веб-атакам. Ограничьте доступ к системным и другим важным папкам сайта. Следует закрыть порты почты, SSH и MySQL.
Использование SSH несет риски, если вы заранее не побеспокоились о безопасности такого подключения. Чтобы обезопасить свой сайт вы можете выполнить следующие действия:
- Измененить номер стандартного порта SSH на другое значение и укрепление конфигурации SSH таким образом, чтобы простые атаки не имели эффекта.
- Определение ограниченного списка пользователей, имеющих право на подключение.
- Полное сокрытие факта существования доступа через SSH и обязательное применение специальной последовательности «стуков» для распознавания вероятного пользователя.
Что нужно делать регулярно
- Обеспечьте безопасность своего рабочего места: работайте с компьютера, защищенного антивирусом, и регулярно проводите полную проверку рабочего компьютера.
- Обеспечьте безопасность сетевого подключения: если с сайтом работаете не из дома, подключайтесь с помощью VPN. Не работайте с сайтом через открытые WI-FI.
- Следите за обновлением версии CMS, на которой работает ваш сайт. Регулярно обновляйте CMS и плагины, если это возможно. Регулярно загружайте резервную копию сайта локально на компьютер. Не стоит на 100% полагаться на хостинг.
Что не нужно делать, так как из-за этого сайт могут взломать
- Не храните пароли в браузере и FTP клиенте, это опасно. Используйте менеджеры паролей.
- Не пользуйтесь FTP, пользуйтесь безопасной альтернативой — SFTP или хотя бы FTP через защищенное подключение FTPS. В тех поддержке хостинга можно уточнить, как подключаться по SFTP.
- Не отдавайте полные доступы сторонним специалистам (фрилансерам и субподрядчикам), каждому нужно создавать отдельный, ограниченный и временный аккаунт, а по окончании работ — сразу менять пароль или удалять тот аккаунт.
- Не отключайте защиту более чем на сутки.
- Не устанавливайте нелицензионные плагины, шаблоны и модули, загруженные из непроверенных источников.
- Не работайте с сайтом из публичных (открытых) WI-FI сетей (в метро, парках, отелях), так как доступы могут перехватить. И предупредите об этом сторонних специалистов, которые будут работать с вашим сайтом. Или используйте VPN подключение.
- Не размещайте на аккаунте хостинга новые сайты, если они не были проверены на вредоносные скрипты и на них нет защиты от взлома.