Защита своего сайта

Безпека сайтів та систем, відкритих для загального доступу через мережу інтернет, вже далеко не один рік є головним болем фахівців, які відповідають за їхню безпеку. Вже в початковий період існування інтернету практика показала, що до існуючих у цій сфері загроз не можна ставитися абияк.
Значною мірою захищеність сайтів залежить, безумовно, від правильного настроювання та конфігурування сервера із встановленою на ньому операційною системою, а також додаткового мережного обладнання. Проте, оскільки переважна більшість веб-майстрів розміщують свої сайти на віртуальному хостингу, вплив на дані фактори виявляється за межами їх можливостей, до того ж дані питання досить складні, щоб розглядати їх у рамках цієї оглядової статті. Як правило, якщо ваш сайт розташований у відомого і надійного хостера, то сервери адмініструються досить грамотно і їх зламування вимагає значних зусиль і, безумовно, дуже високої кваліфікації самих хакерів. У той же час, навіть будучи розташованим на абсолютно захищеному сервері, сайт ніяк не застрахований від елементарних помилок, які часто допускають самі малообізнані з питань безпеки власники сайтів, відкриваючи своїми руками ворота для зломників. Отже, що потрібно знати, щоб зменшити небезпеку для свого сайту бути зламаним?
По-перше, найбільш стійкий до злому сайт, що складається зі статичних html-сторінок. Основна небезпека для сайту походить від встановлених на ньому серверних скриптів (таких як скрипти, написані мовами php, perl, asp і т. д.). На жаль, у наш час багато людей, які створюють собі навіть простий сайт-візитку, часто не обтяжують себе освоєнням елементарних умінь редагування html-сторінок за допомогою візуальних редакторів і вважають за краще встановлювати сайт на CMS, щоб мати можливість вносити правки та адмініструвати сайт віддалено. Чи загрожує будь-який скрипт? Звісно, правильно написаний скрипт безпечний. Однак на практиці, особливо в тому випадку, якщо скрипт є складним, громіздким і створюється не одним програмістом, а кількома людьми, дуже висока ймовірність появи в цьому скрипті тих чи інших помилок, які можуть бути використані для злому сайту. Крім цього, використання громіздких скриптів робить ваш сайт більш вразливим до DDoS-атак, про які буде сказано нижче. Тому, якщо у вас є можливість вибирати між html-сторінками та сайтом на CMS, сторінки якого генеруються скриптом, вибирайте перший варіант.
Якщо від використання скриптів на сайті відмовитися все ж таки не можна, слід відповідально підійти до їх вибору (або написання) та встановлення. Зараз існує велика кількість різних скриптів і движків для сайту - різних типів CMS, блогів, форумів, інтернет-магазинів тощо. Серед них зустрічаються як комерційні версії, за які потрібно платити, так і безкоштовні, які ви можете завантажити та встановити на своєму сайті абсолютно вільно. На жаль, проблеми з безпекою часто спливають і ті, й інші. Якщо ви вирішили використати готові скрипти, слід врахувати кілька речей. По-перше, перед тим, як використовувати обраний скрипт, потрібно обов'язково пошукати на спеціалізованих форумах, сайтах інформацію про стійкість даного скрипта (наприклад, форумного движка) до злому. Якщо ви раптом виявите, що в ньому існують будь-які вразливості, якщо знайдете експлойти (тобто готові програмні коди, що використовують якусь виявлену вразливість, а скористатися таким готовим рецептом злому може будь-який школяр, що його знайшов), то це правильний сигнал, що для поставленого завдання краще вибирати якийсь інший скрипт. Небажано також встановлювати найсвіжіші версії скриптів, які ще не пройшли перевірку часом – ймовірність наявності дірок у таких скриптах більша. Краще використовувати ті версії, які працюють на великій кількості сайтів вже досить тривалий час і не мали за цей час виявлених уразливостей (хоч і це не стовідсоткова гарантія). Після установки скрипта слід періодично заглядати на сайт, який здійснює його підтримку — у випадку, якщо якісь вразливості в скрипті раптом будуть знайдені, там повинні бути викладені оновлення або патчі, які потрібно завантажити і встановити, щоб ліквідувати вразливість. На жаль, багато веб-майстрів часто нехтують цим, і в результаті хакери, які дізналися про виявлені вразливості, отримують можливість злому їх сайтів.
Якщо ви пишете скрипт самостійно, слід також дотримуватися обережності. Ключовим моментом, який завжди потрібно звертати підвищену увагу, є обробка одержуваних скриптом даних. Це як даних, одержуваних з форм, т. е. методом POST, і у адресному рядку, т. е. методом GET. Слід мати на увазі, що користувач може ввести там все, що завгодно (і хакер якраз і намагатиметься це робити). Недостатня фільтрація цих даних є, мабуть, найпоширенішою помилкою щодо створення дірок у безпеці. Допустимо, є скрипт, який додає на сторінку коментар до будь-якої статті, що вводиться користувачем через форму. Якщо в скрипті не передбачити фільтрацію даних, то хакер може ввести через форму код на JavaScript, який потрапить в код сторінки і буде виконуватися при її завантаженні (подібний метод носить назву XSS). За допомогою такого фокусу легко зробити сторінку непрацездатною або вкрасти, наприклад, cookies адміністратора сайту, що містять пароль, і отримати доступ до адміністраторських функцій. Сім разів потрібно перевірити скрипт, якщо на основі даних, що вводяться користувачем, формується запит до бази даних (часто зустрічаються помилки в реалізації запиту до бази дозволяють здійснити злом за допомогою т.з. SQL-ін'єкції), в код скрипта включаються якісь файли (напр. ., за допомогою директиви include), або користувачеві надається право завантажувати якісь файли на ваш сервер (за відсутності достатньої перевірки хакер може завантажити на ваш сайт shell і зробити з ним все, що завгодно).
Звичайно, крім турботи про відсутність уразливостей у скриптах, адміністратор сайту повинен піклуватися і про правильний підбір і збереження свого пароля, інакше всі інші зусилля безпеки підуть прахом.
Навіть якщо ваш сайт не має абсолютно жодних уразливостей, існує спосіб все одно вивести його з ладу. Це т.зв. DDoS-атака. Сутність подібної атаки в тому, що з великої кількості комп'ютерів на ваш сайт починає надходити величезна кількість запитів, обслужити які сервер просто не в змозі. Хоча за допомогою DDoS-атаки не можна зламати сайт, можна домогтися того, що він перестане працювати, і від подібних атак не застраховані навіть дуже великі і відомі сайти. Хоча повністю захиститись від DDoS-атак не можна, можна покращити стійкість вашого сайту до них. Насамперед потрібно обмежити використання скриптів, що споживають дуже багато ресурсів, особливо, якщо при цьому ще здійснюється і підключення до бази даних. За наявності на вашому сайті громіздкого скрипта хакер може перервати його нормальне функціонування, навіть надсилаючи запити з одного єдиного комп'ютера. Ну і, звичайно, якщо на ваш сайт буде проведена DDoS-атака, вам доведеться покладатися на відповідальність вашого хостера. На жаль, не всі компанії висловлюють готовність у таких випадках вживати всіх необхідних заходів та давати відсіч, деякі можуть просто відключити ваш сайт.
Знайти нас Ви можете за адресою м. Чернігів, Пр. Миру, 53 офіс 420a,
Телефони (0462) 611-312, (063)4329858, (066) 6804077
Якщо у Вас виникли питання зателефонуйте нам та менеджер поінформує Вас