Что значит безопасный сайт
Улучшение безопасности сайта
Что такое взлом сайта?
Сайт считается взломанным, если посторонний человек (без вашего ведома и неважно каким путем) получил доступ к файлам вашего сайта, которые хранятся на сервере.
Зачем взламывают сайты?
Как правило, сайты взламывают для того, чтобы заражать вирусом компьютеры пользователей, которые на них заходят. Еще одна очень важная цель – рассылка спама с помощью вашего сервера, а также размещение скрытых ссылок на различные сайты злоумышленников. В остальных случаях – это целенаправленный взлом, чтобы украсть информацию, либо требование денег, чтобы хакеры перестали взламывать сайт. Ну и конечно же конкуренты могут портить бизнес друг другу.
Способы взлома сайтов и защита от них
Кража паролей от FTP и хостинга
Если кому-то даете пароли от FTP/хостинг-аккаунта или административной части сайта, то вы должны быть точно уверены в том, что эти пароли не будут переданы еще кому-то.
Лучше вообще ограничиться лишь передачей паролей к FTP. А если нужен доступ к хостинг-аккаунту, то его можно, скорее всего, предоставить посредством функционала хостера и при этом не должно быть никаких рисков для вас.
Как избежать?
Старайтесь никому не давать пароли от хостинг-аккаунта и доступа по FTP. А если даете, то убедитесь, что у этого человека нет вирусов на компьютере. Также удостоверьтесь, что он надежен и не передаст ваши пароли третьим лицам, или сам не начнет вредить вашему проекту. Также многие провайдеры реализовали функционал по предоставлению временного доступа к хостингу. Рекомендуем лучше использовать его.
Поменяйте пароли на более длинные (сложные) и сотрудничайте только с проверенными людьми.
Хостинг-провайдер
Взлом может произойти и по вине хостинг-провайдера, но на сегодняшний день это достаточно редкая ситуация среди крупных хостеров, а у мелких и не проверенных компаний мы не рекомендуем вам заказывать услуги.
Что делать?
Здесь все просто – размещайте сайты на надежном хостинге, который имеет хорошую репутацию и много клиентов. В нашем футере можно найти рейтинги проверенных хостинг-провайдеров с учетом потребностей вашего сайта.
Взлом CMS (системы управления сайтом)
Не важно какая у вас CMS (платная, бесплатная или самописная). Если она популярная, то тысячи хакеров со всего мира ищут в ней уязвимости, чтобы иметь универсальный способ взломать одним махом десятки тысяч сайтов. Но если хакеры постоянно ищут “дыры” в коде систем управления сайтом, то разработчики этих CMS постоянно выпускают обновления (патчи), которые закрывают “дыры” и улучшают безопасность.
Что делать?
Следите за тем, чтобы на вашем сайте была актуальная версия CMS, причем скачанная с официального сайта разработчика, а не откуда попало. Если CMS разработана специально под ваш сайт (самописная), то актуальным будет заказать аудит безопасности сайта. Где его заказывать? Это сложный вопрос, т.к. компаний, которые качественно этим занимаются – единицы, и они берут за это немалые деньги. При выборе такой компании обращайте внимание на портфолио, а также спросите у их клиентов на сколько качественно они работают. Мы же подготовили рекомендации по безопасности для отдельно взятых CMS (Joomla и WordPress).
Взлом сайта через модули и компоненты
Если взять любую из вышеуказанных CMS в голом виде (без сторонних модулей и компонентов), то взломать ее будет трудно даже хакерам высокого уровня. Основную опасность несут расширения (модули, компоненты, плагины), которые создаются сторонними разработчиками. Так например, устанавливая компонент комментариев, который создан на тяп-ляп, вы позволите хакеру вместо комментария или прикрепленной картинки залить на ваш сайт PHP-скрипт, который и позволит совершить взлом.
Что делать?
Не используйте дополнительные расширения от подозрительных разработчиков. Бесплатных плагинов очень много, и далеко не все они являются опасными для ваших сайтов. Скачивайте плагины из оф.источников или по рекомендациям знакомых, у которых эти плагины уже работают на сайте несколько лет.
Установка прав доступа на файлы
Если установить права 777 на какой-либо файл вашего сайта, то это будет означать, что любой человек сможет прочитать, записать и выполнить этот файл. И конечно же это ведет к тому, что однажды хакер забросит на ваш сайт PHP-код, который его взломает и даст контроль над сайтом.
Как исправить?
Старайтесь, чтобы на все папки Вашего сайта были выставлены права 755, а на файлы – 644. Но в первую очередь посоветуйтесь с разработчиком CMS, хостером или опытным программистом, т.к. изменение прав на файлы может привести к тому, что сайт будет работать некорректно. Детальнее о правах доступа и их изменении читайте в нашей статье.
SQL-Инъекция
В большинстве современных сайтов используются базы данных (SQL), которые нужны для динамического формирования страниц сайта, исходя из действий пользователя. Весь этот процесс происходит с помощью SQL-запросов. В итоге опытный хакер может с помощью входных данных ввести нужный ему SQL-код, который выполнится на сервере и приведет к взлому сайта.
Как защититься?
В первую очередь использовать хорошо защищенную CMS. Если же вы разбираетесь в программировании, то от SQL-инъекций можно спастись с помощью фильтрации SQL-запросов. Например, в PHP есть функция mysql_real_escape_string, которая удаляет потенциально опасный код из запросов.
XSS (межсайтовый скриптинг)
Суть этой атаки сводится к тому, что хакер подкладывает вредоносный код вместо полей для логина, пароля и прочих данных, которые могут вводить пользователи.
Как избежать?
К сожалению, таким атакам часто подвергаются даже очень известные сайты (VK, Facebook и т.д.) и противостоять им достаточно трудно. Наш совет – используйте хорошую CMS или наймите опытного программиста. Если на программиста нет денег, то постарайтесь убрать со своего сайта возможность зарегистрироваться и иметь собственный аккаунт для любых пользователей.
Вирусы на вашем компьютере
Абсолютно не зря везде и всюду утверждают “Надо проверять компьютер на вирусы”, “Обновляйте антивирус” и т.д.. Да, действительно, если на вашем компьютере есть вирусы, то с очень большой долей вероятности этот же вредоносный код уже “украл” все ваши логины и пароли от всего: почта, интернет-банкинги, административная панель сайта, базы данных, доступы ко всем вашим личным кабинетам.
Что делать?
Старайтесь не хранить пароли на компьютере и тем более в браузере. Регулярно проверяйте компьютер на вирусы и при необходимости “чиститесь” от них. Антивирус тоже надо постоянно обновлять. Пользуйтесь только проверенными и надежными антивирусными ПО или же вообще переходите на UNIX-подобные системы.
Не скачивайте и не устанавливайте подозрительное ПО, не скачивайте картинки из писем от неизвестного отправителя и, тем более, не переходите по ссылке в теле таких писем.
Браузер сообщает, что сайт ненадёжный – о чем это говорит?
Безопасность в Интернете – одна из наиболее острых проблем для пользователей всемирной паутины. Рядовое посещение веб-сайта может обернуться кражей данных, в том числе и банковских, установкой на пользовательское устройство шпионской программы или вовсе непоправимой порчей операционной системы.
Во избежание возникновения подобных проблем разработчики добавляют к функциям браузеров предупреждение для пользователей о недоверии к сайту или прямой угрозе, исходящей от него, поэтому при переходе на тот или иной сайт нередко можно увидеть кричащую надпись об опасности.
Что означает «ненадёжность» сайта?
Сайты используют принцип шифрования Secure Socket Layer (SSL), это удостоверение личности подлинного безопасного сайта. Современные браузеры допускают соединение с теми сайтами, у которых имеется актуальный SSL-сертификат, таким образом обеспечивая безопасность сёрфинга в Сети.
Переходя на ресурс, SSL-сертификат которого соответствует всем нормам, пользователь видит слева от адреса сайта в строке браузера значок закрытого замочка, который становится своеобразной гарантией безопасности и максимально возможной защиты.
Если браузер сообщает о том, что сайт ненадёжный, он в большинстве случаев имеет проблемы с шифрованием SSL, которые могут возникнуть по разным причинам:
- сертификат отсутствует или просрочен – получение SSL-сертификата требует финансовых вложений и соответствующего навыка со стороны разработчика сайта. Бывает владельцы сайтов не успевают своевременно обновить сертификат или вовсе не приобретают его, а значит не готовы убедить пользователей в собственной безопасности.
- сайт имеет новейшую версию сертификата – это не означает, что сайт опасен, просто браузер считает безопасными те интернет-ресурсы, которые используют в своей работе занесённые в его базу версии шифрования. Иными словами, сайт обновил сертификат, а разработчики браузера ещё не успели внести его в свою базу.
- истёк срок действия сертификата – подобная ситуация возникает при смене администратором сайта поставщика Интернет-услуг, вместе с ним изменяется URL или IP-адрес, при этом в соответствующей строке сертификации он не обновляется автоматически.
- устаревший браузер – современные браузеры поставляются со встроенными сертификатами, которые обновляются вместе с самой программой для комфортного веб-серфинга, вот и получается, что встроенный сертификат браузера слишком устаревает для перехода на сайт, который использует новую версию шифрования.
Замочек рядом с адресной строкой свидетельствует об использовании SSL-шифрования, также о том, что сайт защищён шифрованием, говорит и протокол https – именно буква S в конце.
Шифрование на интернет-ресурсах, использующих в своей работе протокол https, в большинстве случаев гарантирует, что мошенники не смогут:
- перехватить вводимые данные (пароли, номера банковских карт, личную информацию);
- перенаправить с легального домена на фальшивый (такую схему часто используют для кражи данных с помощью общедоступной сети Wi-Fi);
- полностью отследить цепочку перехода по страницам сайта (это означает, что можно отследить лишь главную страницу интернет-ресурса, который посетил пользователь, последующие переходы, в том числе, в личный кабинет, не сможет отследить даже провайдер).
Обратите внимание! Использование сайтом протокола https не приводит к более медленной работе интернет-ресурса по сравнению с применением протокола http, поскольку все современные браузеры уже достаточно давно применяют систему HTTP/2 для ускорения работы с сайтами, но её использование возможно только в сочетании с протоколом https. Получается, что пользоваться защищённым ресурсом не только безопаснее, но и быстрее.
Что делать, если сертификат сайта отсутствует?
Предупреждение браузера о ненадёжности сайта может быть вызвано внутренними проблемами шифрования интернет-ресурса или сбоем в работе операционной системы компьютера пользователя. Найти точную причину можно методом взаимоисключения, достаточно прояснить некоторые нюансы:
- Проверить правильность указания даты и времени на компьютере или мобильном устройстве пользователя. При необходимости привести эти параметры к актуальному значению.
- Запустить полную проверку пользовательского устройства антивирусной программой: возможно, что с помощью вредоносного программного обеспечения в работу операционной системы были внесены нежелательные изменения.
- Перейдя по пути Windows/System32/drivers/etc, найти файл hosts и проверить, есть ли в нём какие-то нестандартные изменения: по умолчанию в нем должна присутствовать открытая строка 127.0.0.1 Localhost, а перед остальными записями должен располагаться значок #.
- Перезагрузить компьютер.
В том случае, если все перечисленные выше действия не привели к нужному результату, и браузер продолжает предупреждать о ненадёжности сайта, это может означать, что разработчики этого интернет-ресурса не позаботились о его шифровании.
Ответственность за переход на сайт без доверенного SSL-сертификата ложится на пользователя – возможно, владелец интернет-ресурса просто не успел обновить SSL до последней версии или не продлил срок его действия, но чаще всего подобный сайт может угрожать безопасности пользовательского устройства и сохранности его личных данных.
Обратите внимание ! Если владелец устройства абсолютно уверен в безопасности сайта и ранее посещал его без каких-либо предупреждений, можно отключить функцию «Предупреждать о несоответствии сертификата» в настройках браузера, однако после посещения спорного ресурса рекомендуется вновь активировать подобные предупреждения.
Как защититься от «ненадёжных сайтов»?
Протокол https гарантирует безопасное соединение, но он не способен обеспечить абсолютную надёжность интернет-ресурса. Это связано с тем, что современные браузеры всё чаще запрещают доступ к сайтам, которые используют в своей работе протокол http, поэтому мошенникам и создателям различных фишинговых схем приходится приобретать SSL-сертификат для своих сайтов.
Кибер преступники придумали большое количество уловок, на которые пользователи попадаются, доверяя лишь заветному замочку в углу экрана. А ведь, чтобы не стать жертвой мошенников, необходимо:
- Вводить персональные данные, логины и пароли на сайтах, в чьей благонадёжности пользователь действительно уверен. Для этого нужно проверить доменное имя и адрес ресурса с точностью до символа – подмена одной буквы чаще всего используется для создания сайта-клона;
- Установить на устройство антивирус с дополнительными модулями защиты;
- Использовать встроенные в браузер системы проверки безопасности интернет-ресурсов;
- Регулярно обновлять браузер.
- При возникновении подозрений о ненадёжности сайта или соответствующем предупреждении следует проверить его с помощью онлайн-антивируса, например virustotal.com .
Защита от ненадёжных интернет-сайтов совершенствуется с каждым обновлением современных браузеров, однако мошенники не дремлют, и зачастую им удаётся обмануть и антивирус, и встроенную систему безопасности браузера. Напрашивается вывод о том, что безопасность пользователя всемирной паутины – дело рук самого пользователя: чем внимательнее посетитель тех или иных интернет-ресурсов относится к их выбору, тем меньше шансов на то, что он станет жертвой киберпреступников.
HTTPS не значит «безопасность»
Многие думают, что HTTPS-соединение означает, что сайт безопасный. На самом деле его все чаще используют зловредные, особенно фишинговые сайты.
Если в адресной строке браузера слева от адреса сайта вы видите изображение зеленого замочка и надпись «Защищено», это повышает ваше доверие к сайту, не правда ли? В этом случае ссылка начинается с букв HTTPS, а если кликнуть на замочек, вы увидите фразу «сайт использует защищенное соединение». Сейчас все больше и больше сайтов переходят на HTTPS, более того — у сайтов просто не остается выбора, делать это или нет. Казалось бы: ну и прекрасно! Чем больше защищенных сайтов в Интернете — тем лучше!
Но мы сейчас скажем вам то, о чем вы, возможно, не подозревали: все эти символы «защищенности» не гарантируют, что сайт не несет угрозу. Например, что он не фишинговый.
Безопасное соединение не значит безопасный сайт
Зеленый замочек означает, что сайту выдан сертификат и что для него сгенерирована пара криптографических ключей. Такой сайт шифрует информацию, передаваемую вами сайту и от сайта к вам. В этом случае адрес страницы будет начинаться с HTTPS, и вот эта последняя «S» значит secure, то есть «безопасный».
Шифрование – это хорошо и полезно. Это значит, что информацию, которой обмениваются ваш браузер и сайт, не смогут заполучить всевозможные третьи лица – провайдеры, администраторы сетей, злоумышленники, решившие перехватить трафик, и так далее. То есть вы можете вбивать на сайте пароль или данные банковской карты и не волноваться, что их подсмотрит кто-то со стороны.
Проблема в том, что зеленый замочек и выданный сертификат ничего не говорят собственно о самом сайте. Фишинговая страница с тем же успехом может получить сертификат и шифровать всю коммуникацию между вами и ней.
Проще говоря, все это означает, что на сайте «с замочком» никто со стороны не сможет подсмотреть и украсть пароль, который вы вводите. Но этот пароль может украсть сам сайт, на котором вы пароль ввели — в том случае, если сайт поддельный.
Этим активно пользуются злоумышленники: по данным Phishlabs, сейчас уже четверть всех фишинговых атак осуществляется на HTTPS-сайтах (а еще два года назад было менее одного процента). При этом более 80% пользователей считают, что зеленый замочек и надпись «Защищено», которыми сопровождается HTTPS-соединение в браузерной строке, означают, что сайт безопасный, а значит, у них меньше сомнений, вводить на таком сайте свои данные или нет.
А что, если замочек не зеленый?
В целом бывает еще два варианта. Если замочка нет вообще – это значит, что сайт не использует шифрование и обменивается с вашим браузером информацией по протоколу HTTP. Браузер Google Chrome с недавних пор маркирует такие сайты как небезопасные. На самом деле они могут быть «белыми и пушистыми» – просто не шифруют коммуникацию между вами и сервером. Поскольку владельцы большинства сайтов не хотят, чтобы Google помечал сайты как небезопасные, все большее число веб-страниц переходит на HTTPS. Ну и вводить чувствительные данные на HTTP-сайтах не стоит – их может кто-нибудь подсмотреть.
Второй вариант – перечеркнутый замочек и выделенные красным буквы HTTPS. Это значит, что сертификат у сайта есть, но он неподтвержденный или же он устарел. То есть соединение между вами и сервером шифруется, но никто не гарантирует, что домен действительно принадлежит той компании, которая указана на сайте. Это самый подозрительный вариант – обычно такими сертификатами пользуются только в тестовых целях, ну или, как вариант, у сертификата истек срок и владелец его не обновил. Браузеры также отмечают такие страницы как небезопасные, но более наглядно: выводится предупреждение с красным замочком. В любом случае мы бы не советовали ходить на сайты с такими сертификатами и уж тем более вводить на них какие-либо личные данные.
Что нужно помнить, чтобы не попасться на удочку
Резюмируем: наличие cертификата и индикаторов в виде зеленого замочка и надписи «Защищено» означает лишь то, что данные, передаваемые между вами и сайтом, шифруются, а также то, что сертификат выдан доверенным сертификационным центром. При этом HTTPS-сайт вполне может оказаться зловредным — особенно удачно манипулируют этим мошенники, промышляющие фишингом.
Поэтому всегда будьте осторожны, каким бы надежным сам сайт ни показался вам на первый взгляд.
- Никогда не вводите ваши логины, пароли, банковские и другие личные данные на сайте, пока окончательно не удостоверитесь в его подлинности. Для этого всегда проверяйте доменное имя (обязательно очень внимательно, имя сайта мошенников может отличаться всего на один символ!) и переходите только по надежным ссылкам.
- Всегда спрашивайте себя, зачем вам регистрация на том или ином сайте, что он предлагает, не выглядит ли подозрительно.
- Не забывайте о хорошей защите своих устройств: Kaspersky Internet Security сверит адрес страницы с теми, что хранятся в обширной базе данных фишинговых сайтов, и обнаружит мошенников независимо от того, насколько «надежным» выглядит ресурс.
Источники:
https://ru.hostings.info/schools/uluchshenie-bezopasnosti-sayta.html
https://www.internet-technologies.ru/articles/brauzer-soobschaet-chto-sayt-nenadezhnyy.html
https://www.kaspersky.ru/blog/https-does-not-mean-safe/19464/