Топ ошибок, из-за которых сайт становится легкой добычей хакеров

Ваш сайт может выглядеть красиво, приносить заявки, работать как часы и при этом оставаться уязвимым для взломщиков.

Источник: Freepik.com

Елена Гончарова, руководитель юнита Разработка маркетингового агентства Комплето, разобрала главные ошибки, из-за которых обычный коммерческий сайт становится легкой добычей хакеров.

Что такое «взлом сайта»

Кто-то находит слабое место в сайте и начинает использовать его в своих целях: меняет страницы, размещает рекламу или вирусы, ворует данные или просто ломает работу ресурса.

Зачастую это происходит автоматически с помощью сканеров, которые круглосуточно обходят тысячи сайтов, ищут типовые уязвимости и взламывают все, что плохо защищено. Им не важен ваш бизнес, ниша или обороты. Если защита слабая — ресурс попадает под атаку автоматически, без ручного взлома.

Именно поэтому вопросом безопасности сайта должен быть озабочен любой владелец онлайн-бизнеса.

Разберем основные ошибки, которые приводят к взлому.

Слабые пароли, которые не менялись годами

Это может быть один и тот же простой пароль для админки, почты и хостинга, который придумали 5 лет назад и никогда не меняли.

Чем это опасно:

• подмена форм, реквизитов, контактов;
• внедрение вредоносного кода;
• блокировка доступа с выкупом.

Как этого избежать:

• придумывайте длинные сложные пароли (от 12 символов, содержащий буквы, цифры и спецсимволы);
• используйте непохожие пароли для разных сервисов;
• меняйте их хотя бы раз в несколько месяцев и храните в менеджере паролей, а не в блокноте.

Чек-лист: как сделать сайт удобным для пользователей

Отсутствие обновлений движка и плагинов

Проблема в том, что у популярных CMS и плагинов регулярно находят уязвимости, которые быстро попадают в открытые базы.

Специальные программы просто сканируют интернет и находят сайты на старых версиях и затем такие ресурсы ломают по шаблону.

Чем опасно:

• использование сайта для рассылки спама;
• блокировка ресурса или падение позиций в поиске;
• потеря доверия клиентов и партнеров.

Чтобы этого не произошло:

• регулярно обновляйте CMS и плагины;
• удаляйте неиспользуемые модули и темы;
• тестируйте обновления на копии сайта, а не на рабочей версии.

Открытая админка

Вход по адресу /admin или /wp-admin без ограничений по IP, капчи и защиты от перебора пароля — прямое приглашение для ботов.

Чем опасно: можно подбрать пароль и полностью захватить управление сайтом.

Что нужно сделать прямо сейчас:

• сменить стандартный URL входа, если возможно;
• ограничить доступ к админке по IP для ключевых ролей;
• включить двухфакторную авторизацию;
• добавить защиту от перебора паролей и капчу.

Нет HTTPS

Если сайт открывается по адресу, который начинается с «http://», и браузер предлагает не переходить на ресурс, то это означает, что данные, введенные посетителями, могут быть перехвачены по пути от браузера к сайту.

Чем опасно отсутствие протокола HTTPS:

• снижает доверие пользователей;
• негативно влияет на позиции в поиске;
• приводит к перехвату логинов, паролей и данных из форм.

Решение:

• подключите SSL-сертификат, часто его дают хостеры бесплатно;
• настройте принудительный переход с http на https;
• следите за автопродлением сертификата.

Отсутствие бэкапов

Если сайт взломали или он просто «сломался», единственный быстрый способ вернуть все в рабочее состояние — это резервная копия.

Проблема в том, что у многих бэкапов либо нет вовсе, либо они делались очень давно и уже не отражают реальное состояние сайта.

В итоге даже мелкий сбой или взлом превращается в долгий и дорогой восстановительный проект.

Чем чревато отсутствие копий сайта:

• долгий простой бизнеса;
• потеря дохода и репутации;
• необходимость разработки сайта с нуля.

Как этого избежать:

• делайте автоматические бэкапы файлов и базы;
• храните часть копий вне хостинга;
• проверяйте возможность восстановления ресурса из бэкапа, чтобы быть уверенными, что копии рабочие.

Доступы «для всех и навсегда»

Частая ситуация: сайт делают подрядчики, потом приходит новый специалист, а старые доступы так и остаются активными. В итоге к админке, серверу или почте могут подключаться люди, которые уже давно не работают с проектом. При этом пароль и логин общие «для всех».

Чем опасен один доступ для всех сотрудников:

• внесение несанкционированных изменений;
• утечка данных и коммерческой информации;
• случайные или намеренные ошибки;
• сложности с поиском виновных при проблемах.

Что нужно сделать:

• создать отдельные аккаунты под каждого работника;
• установить минимум прав под задачу;
• отключать доступ подрядчикам сразу после завершения работ.

Формы загрузки файлов без проверки

Если на сайт можно загрузить в формы обратной связи любые файлы без проверок, этим могут воспользоваться злоумышленники. Например, вместо картинки или PDF загрузят файл со скрытым кодом.

Чем опасны формы загрузки файлов без проверки:

• загрузка вредоносных скриптов;
• частичный или полный контроль над сайтом;
• внедрение спама, вирусов и скрытой рекламы;
• утечка данных и блокировка сайта.

Как этого избежать:

• разрешайте только безопасные типы файлов (jpg, png, PDF и т.п.);
• настройте проверку не только расширения, но и реального типа файла;
• храните загрузки в папках, где нельзя выполнять код;
• закройте по возможности такие папки от запуска скриптов через настройки сервера.

Владельцу сайта не нужно быть экспертом по кибербезопасности. Достаточно не совершать вышеперечисленных ошибок.

Тогда ваш сайт перестанет быть легкой добычей взломщиков и перейдет в категорию тех, кого взламывать долго, дорого и банально невыгодно

Больше статей на темы бизнеса и digital публикуем в Telegram-канале, сообществе Вконтакте и блоге Комплето.

P.S. Читайте также:

Как разработка корпоративных сайтов помогает B2B-компаниям привлекать больше клиентов

Разработка B2B-сайта: от концепции до релиза

Комплексный предпроектный анализ сайта: пошаговое руководство для B2B-компаний