Стать клиентом
27.04.2017
Бизнес, @pistol
pistol

Безопасность сайта компании

Немного слов о защите своего сайта. К нам часто обращаются с такими проблемами:

  • почистить сайт от вирусов (когда антивирус блокирует любую деятельность сайта);
  • нас взломали и украли все данные, или не пускают в панель управления;
  • нас ddos'ят, что делать?
  • и банальное: сайт делал знакомый программист, но он пропал, и с ним все доступы.

И даже такое:

  • "вот сайт конкурента XXX, можете его взломать?" На это мы всегда отвечаем строгое "НЕТ". Правда часто видим незапароленные админки, XSS-уязвимости, возможность сделать SQL-инъекции. Хоть предупреждай всех и каждого.

Если ставить вопрос более системно, то портал IncRussia пишет об этом так: "Владельцы малого бизнеса думают, что хакерам они не интересны. «Разве моя информация нужна злоумышленнику?», — рассуждают они. Ошибаются: на малый бизнес нацелена почти половина современных кибератак." 50%!

Как можно обезопасить себя от перечисленных выше проблем:

1) Выбор CMS. Как бы то ни было, что бы ни писали маркетологи, но сайтs, сделанные вебмастером на популярной CMS (Joomla, Bitrix, WordPress) взламываются на порядок чаще, чем сайты, разработанные профессиональными командами. Причины банальны: в CMS стандартные шаблонные режимы доступа в админку, уязвимости о которых можно прочитать в интернете, ядро с кучей функционала, в котором может найтись место для "проникновения". Сайты на популярных CMS чаще заражаются вирусами и так далее. Рекомендуем спросить вашего вебмастера, как он будет защищать сайт от взлома, вирусов и т.д. Если ответом будет "ну эта CMS популярная и защищенная" - не рекомендуем с ним работать. Профессионал умеет предусматривать защиту и объяснить как именно.

Резюме: не стоит вопрос в выборе CMS, стоит вопрос в выборе подрядчика.

2) Менять пароли в админке. Сохранять все доступы - к домену, к хостингу, к ftp на крайний случай. Либо заключать договор на абонентское обслуживание сайта с официальной компанией, действующей в рамках Гражданского кодекса РФ и прописать в нем все что нужно о правах и режимах доступа и ответственности. Кстати программная поддержка сайтов и их постоянное развитие - наша основная специализация.

3) Если у вас не просто сайт, а онлайн-бизнес - следует позаботиться о профессиональном системном администрировании, либо заключать договор с фирмой, либо нанимать специалиста. Онлайн-бизнес могут за'ddos'ить, и тут сложно придумать простой рецепт, кроме установки различных captch-защит. Возможно придется периодически сменять место хостинга, все время искать лучше и безопаснее. Позаботьтесь об этом заблаговременно, а не когда ваш сайт внезапно стал недоступен для клиентов.

4) Если вас все еще обслуживает "хороший парень и берет недорого", запросите у него все пароли и доступы к сайту, доменному имени и так далее. Когда он пропадет - а он скорее всего пропадет, т.к. устроится работать в добрую фирму или сменит вид деятельности, часто в другом городе, будет поздно, и придется переделывать сайт заново. Ну хоть повод обновиться ).

5) Как ни странно, не доверяйте стандартным выгрузкам в том же bitrix и интеграциям с 1С. Лучше проверьте после указанных интеграций нет ли возможности получить несанкционированный доступ в те разделы, которые "обмениваются" данными с 1С и другим ПО.

6) Рекомендуем вешать на сайт как можно меньше сторонних плагинов, сервисов и др. Часто тот же wordpress или joomla заражаются через плагины сторонних разработчиков, внедренных на сайт вашим вебмастером. Дешево и сердито.

7) И самое наверно главное. Просто отнеситесь к безопасности сайта также, как к безопасности своего офиса, автомобиля или банковской карты.


Комментарии - 0
Прокомментировать