Как обеспечить безопасность сайта. Так или иначе, возникают перед владельцем ресурса либо на этапе подготовки технического задания. Либо после его успешного тестирования, либо после совершившегося взлома. Насколько усиленными будут предпринятые меры безопасности и в какую сумму это обойдётся. Каждый владелец решает для себя сам, исходя из целевого предназначения веб-представительства. Одно дело, когда это персональный блог, в котором выкладываются рассказы о прошедших с владельцем историях. И совсем другое – сайт крупного интернет-магазина, банка и иных компаний.
Основные угрозы безопасности сайта
Основные угрозы сайта, от которых необходимо защитить сайт, условно подразделяют на внутренние и внешние, последние в свою очередь можно разделить на локальные и сетевые. К внутренним угрозам безопасности относится человеческий фактор, что проявляется в забывчивости или предумышленной передаче конкурентам паролей или прав доступа. Внешняя локальная угроза обеспечена заражённым вирусами компьютером, с которого осуществляется администрирование ресурса. Внешние сетевые угрозы представляют собой разнообразные хакерские атаки, которым подвергается сайт во всемирной паутине.
Безопасность сайта на wordpress
Чтобы защитить сайт от возможных негативных последствий, вызванных модификацией контента, внедрением вредоносного кода или ссылки,
перенаправляющей на заражённый ресурс, и пр., необходимо соблюдать простые меры безопасности, которые заключаются в следующем:
- выбор надёжного хостинга для размещения;
- постоянное резервное копирование версий сайта;
- максимальное ограничение прав доступа к файлам и папкам сторонним пользователям;
- использование статичного IP адреса;
- маскировка «следов» платформы, на которой собран ресурс;
- безопасное паролирование в шифрованном виде;
- обеспечение круглосуточной поддержки и модерации сайта;
- жёсткое разграничение прав доступа для различных групп пользователей и администраторов;
- оповещение администратора на электронную почту обо всех производимых на сайте изменениях;
- проверка безопасности загружаемых пользователями файлов;
- антивирусная безопасность компьютера, с которого осуществляется администрирование веб-представительства;
- регулярное тестирование сайта и его аудит на наличие вредоносных кодов;
- информирование пользователей о произошедшем взломе;
- регистрация пользователей.
Возможно, кого-то удивит взаимосвязь защиты сайта и антивирусной безопасности персонального компьютера администратора. Но здесь возможно два сценария развития событий. В первом случае на компьютере окажется зловредная программа, специально созданная для «воровства» паролей от баз данных, административной панели и пр. Тогда злоумышленник сможет удалённо скорректировать контент или даже программный код, что негативно скажется на репутации компании и её возможности получать доход со своего электронного представительства.
Другой вариант развития событий предполагает возможность загрузки администратором на сайт заражённого файла. В этом случае сработают антивирусные программы на компьютерах пользователей и автоматически занесут сайт в «чёрный список», заблокировав тем самым доступ к нему. Нет заинтересованных пользователей – нет клиентов, а значит, снижается целевой трафик и прибыль компании. Поэтому компьютер администратора сайта следует не только регулярно проверять антивирусными утилитами, но и запретить его использование для другой работы в сети, кроме прямого назначения.
Требования к паролю для входа на сайт
Защита сайта и безопасный пароль представляют собой два неразделимых понятия. При этом следует не только соблюдать правила безопасного шифрования, изложенные ниже, но и использовать разные коды от входа в различные зоны управления ресурсом, если сайтов несколько, то для каждого создаётся своя уникальная пара логин/пароль. К числу правил, которые повышают вероятность создания наиболее безопасного пароля, относят следующие действия генератора ключа:
- длина не меньше 8 символов;
- совокупность строчных и прописных букв как минимум двух алфавитов;
- буквенные сочетания не должны представлять собой слова, это должен быть бессмысленный набор букв;
- использование цифр и других символов;
- никаких персональных данных (инициалы, даты рождения, адрес электронной почты и пр.);
- уникальный для каждого аккаунта;
- регулярная смена паролей от наиболее важных управленческих зон ресурса;
- новый пароль должен существенно отличаться от предыдущего;
- самый надёжный пароль – тот, который известен только одному человеку.
Супербезопасный пароль, сгенерированный по всем правилам шифрования, не обеспечит полной защиты сайта от стороннего взлома и негативных действий злоумышленников. Необходима реализация комплексного подхода к безопасности ресурса, которая может быть обеспечена на стадии создания программного кода или при последующем техническом сопровождении сайта профессионалами веб-студии. К числу таких мер может быть отнесён запрет доступа с определённых IP адресов, защита дизайна сайта от плагиата, предупреждение и снижение негативных последствий от DDoS-атак (для сервисных ресурсов), шифрование html-кода, маскировка каскадных таблиц стилей и др. Для защиты контента сайта от копирования существуют разнообразные сервисные порталы в сети, которые ищут дубликаты как отдельных статей, так и целых страниц на других ресурсах.
