Взлом сайтов, а также защита сайтов от взлома

Создание собственного сайта от регистрации домена и покупки хостинга до запуска проекта в жизнь.
При поддержке:
Berdck.org - создание и продвижение сайтов. Аренда доменов и готовых сайтов
Ответить
Аватара пользователя
berdck
Сообщения: 884
Зарегистрирован: 11 апр 2013, 09:44
Родной город: Бердск
Откуда: Регион 54
Контактная информация:

Взлом сайтов, а также защита сайтов от взлома

Сообщение berdck »

Согласно статистике ежедневно принимаются миллионы попыток взлома сайтов, при этом абсолютно не важно на сколько хорош ваш сайт, какие у него тИЦ или PR, сколько у него страниц, какая посещаемость и т.д.

Единственное, что имеет значение, это сколько можно выкачать из него денег. Даже, если вам кажется, что на вашем сайте невозможно заработать, то вы глубоко ошибаетесь, все зависит от того с какой стороны к этому подойти. Ведь монетизироать можно любой сайт, при должном подходе.

Конечно, есть еще варианты скомпрометировать вас или вашу компанию, просто убить ваш сайт, увести вашу базу клиентов и т.д., но мы пока оставим эти причины, поскольку для этих целей нужно, чтобы у вас был крупный ресурс, на котором обрабатывается масса информации, в т.ч. персональные данные.
А мы рассмотрим варианты более простых ресурсов, поэтому основной причиной взлома таких сайтов является, как правило, выкачивание денег.

Определившись с основной причиной, нужно понять, как можно заработать на вашем сайте.
Самый простой способ - это размещение партнерских ссылок магазинов, банков, игр и т.д.
Еще один способ - это размещение рекламных ссылок бирж ссылок: Sape, LinkFeed, MainLink и др.
Третий вариант - это воровство ваших посетителей, например, зашедших к вам с мобильных устройств.

Т.о. взлом сайтов происходит примерно следующим образом:
1. Поиск уязвимостей на сайте: открытые права доступа, открытые порты, админпанели и т.д.
2. Закрепление на сайте - размещение специального SHELL файла, который дает свободный доступ его владельцу к чужому серверу, сайту...
3. Размещение в открытой области рекламных материалов, если это партнерские ссылки, то может быть создана отдельная папка на сервере, куда закачивается большое количество страниц, либо встраивается специальный рекламный код в страницы вашего сайта, либо и то и другое.

Т.к. взломщик не стеснен моральными правилами, то ваш сайт он будет эксплуатировать по полной, т.е. рекламных ссылок будет навешано по полной и еще столько же. Главный принцип здесь чем больше навешать, тем больше денег получишь.

Теперь рассмотрим более подробнее сам процесс взлома сайта, а также рекомендации по противодействию:

1. Подбор паролей к админ панели сайта, к хостингу и т.д.
- - - Согласно статистике очень часто люди используют простые пароли, например: 12345, qwerty и т.д. - поэтому первое, что следует сделать - это не использовать слишком простых паролей.
- - - При отладке сайта может сложиться ситуация, что кому-то дали доступ к вашему сайту, а на этот доступ не поставили пароль или поставили, но простой, а потом забыли убрать этот доступ, поэтому проверьте свой сайт на такие учетные записи и удалите их.
- - - Хранить пароли надо в зашифрованном виде, не должно быть никаких открытых хранений паролей. Очень часто, вебмастера, делая общую авторизацию, например, форума и основного сайта, используют открытую передачу паролей, либо открытое их хранение в некотором файле, соответственно злоумышленник может получить доступ к этому файлу.
- - - Если ваша админ панель не защищена от многократного ввода полей ЛОГИН и ПАРОЛЬ, то злоумышленник может получить доступ к сайту простым перебором логинов и паролей. Для защиты рекомендуется либо блокировать ввод логина и пароля на некоторое время, требовать ввода капчи. Еще один вариант защиты, который используется на услугах хостинга сервиса 77R.SU - это дополнительная авторизация при обращении к админ панели сайтов на популярных CMS, в результате вероятность взлома сайтов значительно сокращается.
- - - Регулярная замена паролей доступа к сайту, хостингу, ftp-доступу и т.д. Это еще один важный момент, о котором не стоит забывать при использовании любых самых надежных паролей.


2. Поиск уязвимостей в скриптах вашего сайта.

Для рассмотрения этого вопроса разделим все сайты на самописные и сайты написанные на готовой CMS:

Самописные сайты, как правило, имеют нестандартные решения в результате они в меньшей степени подвержены массовому взлому при помощи "стандартных" программ взлома. Но такие сайты, как правило, имеют больше уязвимостей, которые где-то случайно забыты разработчиком.

Сайты на CMS, поддерживаются группой разработчиков, поэтому поиск уязвимостей идет более активно, в результате мы можем видеть выход постоянных обновлений. Сайты на CMS в большей степени подвержены взлому "стандартными" программами по взлому, т.к. таких сайтов много и проще всего использовать программы, которые будут перебирать такие сайты на предмет стандартных уязвимостей.

2.1. Уязвимости сайтов на CMS.
Вроде бы все уже сказано выше, но есть еще несколько моментов в работе CMS, который стоит рассмотреть.
- - - Выше мы писали об уязвимостях самих CMS, но дырки в них закрываются разработчиками. Главное всегда иметь актуальную версию CMS, т.е. во время обновляться и тем самым обезопасить себя от взлома.
- - - Выше также писали о дополнительной защите админ панели, которая, в частности, предоставляется на услугах хостинга сервиса 77R.SU для владельцев популярных CMS.
- - - Но вот мы не писали о дизайнах, которые используют владельцы сайтов. Очень часто скачивая бесплатный дизайн для своего сайта, мы даже не задумываемся, а что еще мы можем получить, а при этом в бесплатном шаблоне сайта в самом безобидном случае может быть зашит блок ссылок на другие сайты, а в худшем shell доступ к вашему сайту. Поэтому выбирать шаблон для своего сайта нужно аккуратно, а прежде чем его устанавливать, обязательно проверять все файлы на разного рода сторонние включения.
- - - Дополнительные модули и плагины решают много полезных вещей, позволяют добавить функционал сайту и т.д., но при этом нужно также думать откуда вы берете все плагины и модули для своего сайта. Поскольку, даже если плагин или модуль безопасен, то никто не гарантирует, что в будущем в нем не обнаружится "дырка", поэтому желательно брать модули, плагины от разработчиков, которые не забрасывают свои разработки, а оказывают поддержку и обновление.

Меры защиты от взлома сайта.
Про основные уязвимости и меры защиты мы поговорили. Все эти методы должны существенным образом затруднить работу взломщику сайта, но нужно помнить, что если кому-то сильно надо, то ваш сайт все равно взломают, поэтому нужно подготовиться и к этому.
Единственный способ подготовиться к этому - это иметь актуальный backup вашего сайта, т.е. резервную копию. Не рекомендую надеяться сильно на backup от хостинг провайдера, потому что взломщик сайтов после заливки на ваш сайт shell файла, как правило не будет сразу активным, чтобы обеспечить полный backup своего файла у хостинг провайдера, чтобы обеспечить восстановление своего файла при возможном откате.
Идеальный вариант - это после установки сайта скачать все файлы на свой компьютер, а также базу данных.
В этом случае Вы в любой момент сможете восстановить свой сайт простой перезаливкой файлов с компьютера на хостинг. А также у вас всегда будет исходник с которым можно сравнить файлы, находящиеся на сервере, тем самым обнаружить отличия и понять где что было изменено без вашего ведома.

Конечно, продвинутые пользователи скажут, что хостинг провайдер предоставляет лог файлы, где можно все посмотреть, но мы пишем рекомендации для начинающих пользователей, поэтому все описанные методы простые и понятные любому новичку.


Что еще хочется сказать на последок.
Главное не бояться, а просто выполнять элементарные инструкции, тем самым вы сведете вероятность взлома к минимуму.
Пробуйте, создавайте сайты и я уверен, что все будет хорошо.
Пишите о своем опыте в области защиты сайта или его лечении.
Если Вам понравилось :roll:, то не забывайте нажимать кнопочки ПОДЕЛИТЬСЯ... в социальных сетях :idea: Мне будет очень приятно ;)
А если копируете к себе в блог или на сайт, не скупитесь поставить ссылочку или пару на источник :!: - YaDumau.RU
Аватара пользователя
bambucha
Сообщения: 102
Зарегистрирован: 16 янв 2015, 18:25
Родной город: Moscow

Re: Взлом сайтов, а также защита сайтов от взлома

Сообщение bambucha »

Безопасность сайта превыше всего, ведь если взломают то могут сделать перенаправлявшие на нужный ресурс и можно быстро потерять посетителей. Буквально за один день. Лучше всего использовать проверенные движки КМС и ставить очень сложные пароли. Плюс замаскировать КМС под какую нибудь другую КМС.
Аватара пользователя
berdck
Сообщения: 884
Зарегистрирован: 11 апр 2013, 09:44
Родной город: Бердск
Откуда: Регион 54
Контактная информация:

Re: Взлом сайтов, а также защита сайтов от взлома

Сообщение berdck »

Точной статистики, какая CMS надежнее, а какая нет сложно точно указать.
У крупных поисковиков есть статистика, но делиться ею они особо не желают.

Поэтому лучше всего самим не зевать, а выполнять хотя бы элементарные требования безопасности.
Если Вам понравилось :roll:, то не забывайте нажимать кнопочки ПОДЕЛИТЬСЯ... в социальных сетях :idea: Мне будет очень приятно ;)
А если копируете к себе в блог или на сайт, не скупитесь поставить ссылочку или пару на источник :!: - YaDumau.RU
Аватара пользователя
avu
Сообщения: 209
Зарегистрирован: 08 фев 2015, 18:50
Родной город: Kharkov

Re: Взлом сайтов, а также защита сайтов от взлома

Сообщение avu »

Чтобы не взломали сайт, надо придумать надёжные пароли и нигде их не светить. Кроме того, надо закрыть на сайте все форумы и чаты, а если это невозможно, то установить к движку сайта специализированные плагины, которые будут отсекать вредоносный код.
Аватара пользователя
berdck
Сообщения: 884
Зарегистрирован: 11 апр 2013, 09:44
Родной город: Бердск
Откуда: Регион 54
Контактная информация:

Re: Взлом сайтов, а также защита сайтов от взлома

Сообщение berdck »

avu писал(а):Чтобы не взломали сайт, надо придумать надёжные пароли и нигде их не светить. Кроме того, надо закрыть на сайте все форумы и чаты, а если это невозможно, то установить к движку сайта специализированные плагины, которые будут отсекать вредоносный код.
Насчет паролей и плагинов - это все правильно, но абсолютной защиты не существует!!!

Открою небольшой секрет: "Взломать можно все!"

Дело в том, что уязвимости в разных движках находятся постоянно, в противном случае не выходили бы обновления для CMS, в том числе связанные с устранением уязвимостей.

Даже если предположить, что все мы сделали правильно и сайт у нас полностью защищен, но есть обходные пути, как например взлом сайтов соседа по хостигу, а уже через него получение доступа к остальным ресурсам на данном сервере.

Поэтому об индикаторах, которые помогут нам во время заметить проблему, чтобы ее решить - забывать не стоит.
Если Вам понравилось :roll:, то не забывайте нажимать кнопочки ПОДЕЛИТЬСЯ... в социальных сетях :idea: Мне будет очень приятно ;)
А если копируете к себе в блог или на сайт, не скупитесь поставить ссылочку или пару на источник :!: - YaDumau.RU
Поделиться с друзьями:
Ответить

Вернуться в «Сайтостроительство от А до Я»