+7 999 041 51 61 contact@rwsite.ru

как защитить сайт -памятка по информационной безопасности

Предлагаем всем нашим клиентам проверить свои компьютеры и сайты на предмет соответствия минимальным требованиям информационной безопасности.

Т.к. и наш с вами интернет основан на клиент-серверной архитектуре, то памятка будет состоять из 2 разделов — серверной и клиентской части.

Так же следует понимать, что существуют атаки целевые и массовые. Практически 95% случаев атак это массовые атаки предназначенные найти стандартные уязвимости в вашей информационной системе. Потому в первую очередь следует соблюдать элементарные меры безопасности, что бы избежать неприятностей.

Клиентская или пользовательская часть — Ваш ПК

Проблема: Рабочий/Домашний компьютер заражен. Программа шпион собирает ваши пароли, и злоумышленник использует из в своих целях.

Решение: На каждом используемом компьютере должен стоять антивирусный сканер и сетевой фильтр, он же firewall, он же брэндмаур, он же сетевой экран.

Примечание: По моему сугубо личному мнению лучшим решением этого вопроса будет применение продуктов фирмы Agnitum. У нее существует платное комплексное решение и бесплатная версия сетевого фильтра (firewall). Я рекомендую воспользоваться комплексным решением потому, что оно, как утверждают разработчики «Ловит все. Не тормозит» и к тому же стоит не очень дорого. Если брать сегодняшнюю цену за 2 года пользования этим решением (если покупать на 3 человек) будет стоить вам 833р, что более чем дешевого на мой взгляд.

На текущий момент Agnitum влился в Яндекс, поэтому информация более не актуальна. Как альтернативу рекомендую F-Secure Internet Security.

Проблема: Злоумышленники подобрали пароль.

Решение: Восстановите пароль. Смените пароль на безопасный. Никогда не используйте простые пароли типа: 123456, qwerty и т.д. такие пароли может взломать любой школьник.
Примечание: Для серфинга в интернете используйте максимально длинные и сложные пароли, сгенерированные генераторами паролей например такой пароль: YsrqXHwwOZrw753t3ykAKL35d1G991 . Для входа в систему или системы безопасности используйте сложные ассоциативные пароль, их легко запомнить и создать удержать в голове достаточное количество например такая конструкция: «Название Любимого Города»-«Дата Рождения»-«Восклицательный знак» возможные вариации пароля:
Piter-1987-!  Питер.1987-!  и т.д. Подобрать такие пароли так же достаточно сложно, но их вы сможете запомнить. Остальные пароли лучше хранить в защищенных текстовых файлах или можете воспользоваться специальными программами — хранителями паролей типа KeePass.

Серверная часть — хостинг и CMS

Проблема: Как узнать какая защита установлена у хостинг провайдера и можно ли ей доверять?

Решение: Спросить самого хостинг провайдера по этому поводу. В зависимости от типа хостинга могут быть применены разные решения. На linux хостинге могут быть  установлены антивирусы типа virusdie, Maldet, ClamAV или AI-Bolit. Все они достаточно хорошо справляются со своей задачей.
Если же у хостинга вообще нет антивируса, тогда стоит задуматься стоит ли пользоваться услугами такого хостинга над интегрированием этой функции в CMS.

Примечание: Рекомендую использовать услугу нашего хостинг партнера. На хостинге reg.ru используются 2 антивируса для проверки фалов, правда число самих проверок имеет лимит до 2х раз в сутки. 

Проблема: DDOS, как защитится и какие меры принять? Что это такое?

Справка: DDOS делится на основных вида:

  1. Самый опасный вид DDOS. Блокирование каналов связи или «сетевой флуд». Суть этого типа DDoS-атаки заключается в том, что за счёт огромного потока  запросов полностью забивается канал связи сервера или маршрутизатора. Вследствие этого, пакеты пользователей не доходят до сервера и сервер оказывается недоступным для посетителей сайта.
  2. Атаки, которые используют ошибки в TCP/IP протоколе. Данный тип использует ошибки протокола связи. Забивая UPD- и ICMP каналы непонятными для сервера пакетами. В этом случае ваши пакеты просто не могу пробиться на сервер для обработки.
  3. Атаки, направленные на переполнение ресурсов операционной системы или приложений. Самый «безопасный» тип DDOS, в этом случае злоумышленник отправляет один или несколько сложных запросов, на обработку которых сервер тратит все свои вычислительные ресурсы.Более подробно тут. Для более продвинутых можно посмотреть видео тут.

Решение: Решение лучше предоставить специалистам и хостинг провайдеру.  Заранее предохраниться от аказии можно, подключив доп IP (по нему можно будет войти в случае занятости основного) или перенеся сайт в облако -это решения для первых двух видов. От третьего вида DDOS можно защитится поставив определенные фильтры для запроса.

Проблема: Уязвимости популярных CMS.
Справка: Уязвимости бывают разных видов каждого их них нужно защищаться отдельно. 

Решение:

  1. Правильная конфигурация файла .htaccess позволит отфильтровать запросы, а так же решит много других проблем.
    Не стоит забывать и о защите самого этого файла.
  2. Защита от брут-форс атак с помощью CAPTCHA или secret key, так же не забудьте сменить url админки, если он стандартный
  3. Удалить признаки CMS.
    В wordpress это meta generator, файлы readme и т.д.
    Смена префикса таблиц в базе данных MySQL.
    Удаление типичных имен администратора admin, administrator..
    Удаление типовых url wp-content wp-uploads..
  4. Установка прав на исполняемые скрипты и директории 644 и 755 соответственно.
  5. Своевременное обновление CMS и плагинов
  6. Для ручной проверки сайта можно использовать тот же антивирус AI-Bolit
  7. Настройте бэкап по расписанию!
  8. Использование плагинов безопасности
  9. Установить инструменты сбора статистики и следить за логами. Пользоваться инструментами веб мастера яндекс и гугл.

Вот вроде бы и все основные правила, которые помогут вам избежать вторжения в ваше информационное пространство посторонних лиц.
Данный материал со временем может быть дополнен. Т.к. тут рассмотрены далеко не все аспекты безопасности. Оставляйте ваши вопросы и комментарии и не забывайте делать бэкапы:)