Большинство разработчиков, и тем более заказчиков, как правило не утруждают себя проблемами безопасности сайтов, многие говорят, что мой сайт небольшой и там нет никакой секретной информации, такой сайт не заинтересует взломщиков, это большое заблуждение, сейчас прошли те времена, когда взломщики искали только закрытую или финансовую информацию.
Цели и методы взломов сайтов
На современном этапе развития сети, взламывают сайты, как правило для:
- Получения закрытой, секретной информации,
- Рассылки нежелательных писем, т.е. спама,
- Создание крупных бот-сетей, т.е. превращение вашего сервера в «зомби»,
- Размещения ссылок на другие сайты, это влияет на ранжирование поисковыми роботами,
- Превращение сайта в помойку ссылок, что значительно ухудшит его позиции в поисковых системах, т.е. уничтожение конкурента,
- Размещение паразитной рекламы,
- Размещение постороннего контента, в котором рекламируется посторонний товар или услуга.
Обычно все взломы сводятся к следующим методам:
- Подбор пароля к управлению сайтом или вообще всему серверу,
- Перехват паролей, если передача идет без шифрования,
- SQL инъекции - это один из распространенных методов,
- XSS - межсайтовый скриптинг, так же очень распространен.
Все что касается паролей - легко решить, достаточно использовать сложные пароли, содержащие спецсимволы, и использовать шифрование. Для исключения перехвата паролей к серверу, рекомендуется отказаться от стандартного FTP протокола, и использовать его шифрованную версию, SFTP, сам сайт перевести на HTTPS. Получение пароля от самого сервера открывает полный контроль над сервером злоумышленнику, это самая опасная ситуация.
SQL инъекции и XSS возникают в результате ошибок в программном коде сайта, его пишут обычные люди, а людям свойственно ошибаться или что-то не учесть, в результате при определенных условиях работы сайта, можно изменить логику программы, заложенной программистом. По этой причине заказчик после получения сайта в свое распоряжение должен оставаться на связи со своим разработчиком, чтобы оперативно вносить исправления. Что бы избежать взлома сайта используйте последние версии как серверного программного обеспечения, так и программного кода самого сайта. Конечно, большая часть сайтов использует стандартные системы управления или фреймворки, которые можно обновить и самостоятельно, но ведь сайт состоит из части, которую разрабатывает студия или фрилансер. Как правило достучаться до фрилансера сложно или даже невозможно для исправления ошибок. Это серьёзный аргумент в пользу заказа сайта в студии. Если сайт обслуживается в студии, то, как правило, сотрудники студии контролируют системные журналы сервера на предмет аномальной активности, и могут оперативно исправить ошибки. Студия "Мастер Флеш" имеет свои вычислительные мощности в Москве, это позволяет размещать на нашей площадке сайты наших клиентов и своевременно реагировать на подозрительную активность.
