Безопасность интернет сайтов
Интернет-сайт в большинстве случаев представляет собой сочетание базы данных (хранилища информации) и скриптов (системы управления контентом). Сохранность данных в области веб-сайтов имеет огромное значение, т.к. взлом сайта неизменно приводит к неполученной прибыли от интернет маркетинга или даже прямым убыткам, если торговля осуществляется online.
Мотивация хакера для взлома сайтов может быть различной:
1) Подмена главной страницы сайта другой - так называемый дефейс. Обычно на такой странице пишут: "Взломано таким-то". Основной целью хакера в этом случае является пиар своего имени. Убытки владельца взломанного сайта – неполученная выгода от посетителей, которые заходят на сайт после его взлома.
2) Получение доступа к сайту с целью размещения вредоносных страниц. На вредоносных страницах у пользователей система спрашивает личные данные, данные кредитных карт. Вся эта информация передается злоумышленнику, который получает от этого конкретную выгоду. Убытки владельца сайта – неполученная прибыль от посетителей сайта в течение длительного времени, т.к. после того, как вредоносные страницы идентифицируются, сайт попадает в бан поисковых систем и антивирусов.
3) Получение доступа к сайту с целью сбора информации с сайта и использование ее в корыстных целях. Убытки владельца сайта - как денежные, так и в виде товаров и услуг - могут быть очень большими.
4) Получение доступа к сайту с целью организации спам-рассылки с сайта. Подобная рассылка крайне плохо сказывается на репутации владельцев интернет-сайта. Может серьезно ухудшить отношения с компанией, предоставляющей хостинг. Последствия для владельца сайта – ухудшение репутации сайта, вплоть до невозможности размещения сайта в Интернете.
5) Взлом по заказу конкурентов. Информация о заказах может использоваться в корыстных целях, или информация, размещенная на сайте, может быть удалена. Последствия для владельцев сайта – от неполученной прибыли до прямых убытков.
6) DDos – распределенная атака на сайт. Организуется с целью сделать сайт недоступным для пользователей из-за генерации большой нагрузки на сервер.
Если первый пункт сейчас не распространен, то остальные достаточно часто случаются в наше время. Для того, чтобы взлом сайта был невозможен или затруднен, о безопасности интернет-проекта надо задумываться еще на этапе создания сайта и проектирования информационной системы. Для этого надо понимать основные способы взлома веб-сайтов:
1) Получение доступа к сайту вследствие ошибочной (небезопасной) конфигурации сервера хостинга. Надежность хостинга – очень важный показатель выбора компании, предоставляющей услуги хостинга. GMsite в вопросах хостинга сотрудничает с компанией Majordomo. Хостинг надежный и быстрый.
2) Получение доступа вследствие обнаружения уязвимости в CMS (системе управления контентом). Наша компания использует различные системы управления контентом, но для повышения уровня надежности рекомендует своим клиентам 1C-Битрикс. 1С-Битрикс по мнению GMsite - самая надежная и безопасная система на российском рынке CMS. Для всех систем управления мы рекомендуем устанавливать последние обновления. Периодическое обновление CMS входит в комплекс услуг по поддержке сайта в GMsite.
3) Скомпрометированный пароль вследствие человеческой ошибки. Данные могут быть полученными злоумышленниками из-за заражения компьютера вирусами, из-за заражения вирусами серверов интернет провайдера или каким-нибудь другим способом.
В этом случае в системе должна быть возможность ограничения доступа с внешних IP-адресов, использование одноразовых паролей и т.п. В CMS Битрикс реализован функционал, позволяющий снизить вероятность взлома сайта даже вследствие человеческого фактора.
По статистике, об уязвимостях или фактах взлома владелец сайта узнает слишком поздно (96% владельцев сайта узнают о проблемах более чем через 3 дня после заражения). Именно поэтому важно не просто обезопасить свой интернет сайт, но и регулярно проверять его на наличие вредоносного кода, скорости отдачи страницы, корректности содержания, т.е. осуществлять комплексный технический мониторинг интернет проекта.
