Взлом сайта и заражение вирусами – распространенное явление, от которого никто не застрахован. После взлома хакеры используют сайт для выполнения противозаконных действий, например, настраивают рассылку спама или начинают обманывать клиентов, если речь идет о коммерческих площадках. Мы рассказываем о том, что такое взлом, даем рекомендации, которые помогут защитить сайт от атак злоумышленников.
Почему необходимо позаботиться о безопасности
В случае угроз и обхода защиты владелец будет нести убытки, которые сведут все ранее проведенные работы на нет:
- финансовые убытки. После взлома происходит падение трафика, владелец начинает терять деньги;
- санкции со стороны поисковых систем. Поисковые системы стоят на страже интересов пользователей, если ресурс будет взломан, то он получит особую отметку. Выполнив переход, пользователь увидит сообщение о том, что сайт, возможно, был взломан и не является безопасным. Наличие такой отметки влечет за собой потерю трафика;
- потеря времени. После взлома ресурс необходимо будет восстанавливать, предварительно выявив характер и причину угрозы. Вместо обновления владелец должен провести анализ логов и выполнить восстановление, прибегнув к бэкапу;
- ответственность. Речь идет о репутационных потерях, а также об утрате персональных данных пользователей. Этот момент очень важен, ведь персональные данные защищаются во всех странах мира. В РФ, Украине, Беларуси – собственное законодательство, в ЕС – GDRP. Последний протокол актуален для владельцев сайтов из стран СНГ в случае, если в их базе числятся европейские клиенты.
Репутационные и финансовые потери, претензии со стороны контролирующих государственных органов – основные проблемы, с которыми можно столкнутся после взлома или вирусной атаки. И если восстановление ресурса займет несколько месяцев, то утраченное доверие пользователей придется завоевывать вновь, на что могут уйти годы.
Классификация угроз
Все виды угроз условно разделяются на группы по уровням опасности и способам решения. Рассмотрим угрозы и способы более детально.
Персональная безопасность
После взлома злоумышленники выполняют работы, которые компрометируют администратора. Они могут завладеть паролями, сетевой активностью или файлами, хранящимися на дисках.
Пароли
Компрометация паролей – способ взлома, который может «утопить» любой ресурс. После получения данных, а точнее пароля от административной панели, злоумышленники загружают на сайт контент для взрослых, дают ссылки на платные или запрещенные законом ресурсы: прибегают к изощренным методам компрометации. Доступ к паролям может быть получен с привлечением следующих инструментов:
- трояны. Троян – вирусная программа, которая попадает в компьютер, замаскированная под лицензионное программное обеспечение;
- фишинг. Более сложная схема, при которой администратор сам вводит данные доступа. Например, он получает письмо от хостера или другого проверенного лица, в котором содержится ссылка на административную панель хостинга или сайт. Опасность кроется в том, что ссылка ведет на страницу-клон: она имеет идентичный дизайн и функционал, различия могут крыться в нескольких буквах доменного имени. Перейдя на страницу, админ сам вводит данные доступа, которые сразу же попадают в руки злоумышленников;
- брутфорс. Злоумышленники осуществляют подбор пароля, используя специальный софт. Если пароль состоит из одних единиц или комбинации 121212, то на его подбор уйдет несколько минут. Более сложные пароли тоже будут выявлены, особенно если админка не дополнена системами по типу rate limiting, которые ограничивают количество запросов в течение определенного времени. Если ограничений по количеству запросов нет, то злоумышленники смогут спокойно подбирать пароли.
Последний способ пользуется успешностью из-за беспечности администраторов. Многие создают хитрые пароли, которые сложно подобрать, однако используют один на всех сайтах, иногда и на личных страницах, в почтовых сервисах. Принцип «один пароль – 10 сайтов» может сыграть с его владельцем злую шутку.
Например, админы ресурсов, на которых используются пароли доступа, выполнят выгрузку базы данных, после чего они попадут в открытый доступ. Слить информацию могут как недобросовестные сотрудники, так и хакеры. В итоге данные (пароль и электронный адрес) попадут в даркнет, а злоумышленники будут использовать их для получения доступа на популярных площадках. Они планомерно будут вводить данные в онлайн-банках, коммерческих площадках, админках провайдеров хостингов и т. д. Рано или поздно попытки увенчаются успехом, а владелец данных может потерять не только доступ к сайту, но и лишиться денег, хранящихся на банковских картах и счетах интернет-магазинов.
Предупредить эту проблему поможет использование разных паролей, имеющих высокий уровень сложности. Если вы имеете плохую память и боитесь потерять данные, то целесообразно использовать системы хранения паролей, например, Keeper Security или Intuitive Password. Проверка ресурса на наличие вирусов выполняется с помощью анализаторов, которые попутно ищут проблемы в технической части и оптимизации.
Перехват трафика
Перехват сетевого трафика – проблема, которая может стать причиной утечки паролей и персональных данных пользователей. Перехват может быть выполнен в следующих случаях:
- общественные Wi-Fi. Ситуация распространенная и до боли простая: администратор сайта решил выпить кофе в кафе, подключился к местной бесплатной беспроводной сети. За соседним столом сидит человек с ноутбуком, который используется специальный софт для перехвата трафика. Администратор вводит пароль доступа к сайту, а он попадает к злоумышленнику. Такая ситуация возможна в том случае, если сайт пока не переведен на HTTPS: шифрование не выполняется, поэтому сайт уязвим. Получить данные доступа злоумышленник сможет даже в том случае, если админ не вводит пароль: он украдет авторизационные cookie. Рекомендуется отказаться от использования публичных беспроводных сетей, а также выполнить переход на HTTPS;
- корпоративные сети. Нередко управленцы используют специальный софт для контроля действий персонала. В результате кто-то может получить доступ к данным, а потом использовать их;
- прокси. Бесплатные прокси – плохое и небезопасное решение, которое нередко влечет за собой перехват трафика. Трафик проходит через один прокси, поэтому владелец может беспрепятственно его перехватить и завладеть данными;
- Wi-Fi у друзей. Если владелец Wi-Fi захочет почитать личную переписку или получить доступ к страницам в социальных сетях, то он осуществит настройку перехвата трафика, выполнив ряд манипуляций на своем роутере. Не рекомендуется вводить пароли на чужих ПК и других устройствах: велик риск того, что владелец ПК запустил настройку логинирования клавиш. Такие процессы запускаются с помощью кейлоггера.
Подводя итог в вопросе перехвата трафика, стоит сказать о том, что владельцам сайтов рекомендуется отказаться от использования любых публичных сетей, а также ввода паролей на чужих компьютерах. Обезопасить данные доступа поможет переход на SSL-сертификат, работа с платными и проверенными прокси.
Как узнать, что пароли были украдены?
Проверить утечку приватных данных можно через сервис Have I Been Pwned. Для запуска поверки достаточно ввести свой пароль или электронный адрес, после чего выполнится анализ слива личных данных. Если слив будет выявлен, то пользователь увидит, когда и как данные были переданы злоумышленникам. После выполнения проверки настоятельно рекомендуется изменить пароли, что является базовым элементом безопасности.
Рекомендации по повышению личной безопасности
Для повышения безопасности данных рекомендуется использовать следующие инструменты:
- придерживайтесь золотого правила: «Один сервис – один уникальный сложный пароль»;
- для хранения учетных записей используйте менеджеры паролей, доступны платные и бесплатные версии. При использовании менеджеров юзеру нужно помнить один главный пароль, остальные будет хранить софт;
- никогда не вводите данные доступа на чужих устройствах или с привлечением публичных сетей;
- настройте двухфакторную аутентификацию, при которой после ввода пароля потребуется подтверждение с помощью кода из SMS-сообщения. Поддержка одноразовых паролей доступа в сервисах Яндекс.Ключ, Google Authenticator и других;
- ограничьте количество запросов в минуту, чтобы злоумышленникам сложнее было осуществить подбор.
Для повышения сетевой безопасности применяйте следующие советы:
- выполните переход на HTTPS, что обеспечит защиту данных доступа и повысит безопасность сайта для посетителей, клиентов;
- используйте только проверенные прокси и VPN, в этом вопросе стоит отказаться от ненадежных бесплатных решений;
- никогда не используйте неизвестные Wi-Fi-сети.
Выявление уязвимости в коде
- RCE. Злоумышленник выполняет загрузку исполняемых файлов, например, в комментарии или галерею, после чего данные могут попасть в серверную папку. В файл внедрен код, с помощью которого злоумышленник получит возможность запускать команды. Способ устаревший, но ресурсы на старых версиях CMS к нему уязвимы.
- SQL Injection. Метод простой: в запрос внедряется SQL-код, после чего злоумышленник получает возможность просматривать базы данных, изменять данные, а также добавлять учетные записи. Если специальные символы не фильтруются, то злоумышленник осуществляет редактирование таким образом, чтобы параметр был дополнен частью запроса. После выполнения задачи на сервере, сведения из БД отобразятся на странице сайта и станут доступны для злоумышленника.
- Cross-Site Scripting. Взломщик выявляет уязвимости, а потом добавляет код JS, который у пользователя будет отображаться как часть сайта. Администратору придет письмо, содержащее ссылку: после перехода по ней произойдет запуск скрипта, а авторизационные cookie уйдут к злоумышленнику. Нередко даже переход по ссылке не нужен: активация кода происходит после перехода на страницу.
- CSRF. Этот тип атак опасен для сайтов, поддерживающих протокол HTTP. Механизм несложный: пользователь заходит на сайт, который был создан специально для кражи данных, а потом выполняет простейшее действие, например, решает задачу для капчи. Параллельно происходит отправка запроса на второй сервер и выполнение действий на другом ресурсе. В итоге происходит смена пароля или онлайн-перевод денежных средств.
Как исправить уязвимости в коде
Решить проблему своими силами сложно, даже невозможно. Рекомендуется делегировать задачу опытному разработчику, который устранит проблемы, повысит уровень безопасности. Злоумышленники не имеют доступа к исходникам, поэтому выявить уязвимости им будет достаточно сложно. Есть еще одна хорошая новость: непопулярные ресурсы не представляют интерес для взлома.
- Атаки DoS и DDoS. Происходят из-за ошибок программиста, касающихся несовершенной архитектуры. Взломщики формируют условия, при которых юзеры не смогут получить доступ к ресурсу. Для предупреждения атак нужно провести исправление ошибок в коде, повысить скорость ответа страниц и подключить защиту Reverse Proxy/CDN.
- Уязвимости на уровне CMS. В зону риска попадают бесплатные движки с открытым исходным кодом и сайты, для которых используются взломанные плагины, ПО и т. д. Для предупреждения проблем стоит использовать платный или легальный бесплатный софт, регулярно обновлять движок и проводить проверку уязвимостей.
- Уязвимости библиотек и системного софта. Более сложная проблема, связанная с отсутствием регулярного обновления системного ПО. Рекомендуется не забывать об обновлении и устанавливать дополнительный софт, без которого невозможно обойтись. Если обновление невозможно выполнить, то не забывайте закрывать порты через Firewall.
- Проблемы открытых систем управления. Данные пользователей, а также другую информацию можно увидеть в БД сайта. Если пароль от БД попадет в общий доступ, то взломщик зайдет в админку без какого-либо препятствия. Рекомендуется отказаться от использования открытых систем управления, чтобы повысить безопасность.
В заключение
Способы взлома сайта постоянно совершенствуются, как и методы для получения персональных данных пользователей. Взломать могут не только маленький региональный сайт, но и крупные корпоративные площадки, которые инвестируют в информационную безопасность сотни тысяч рублей. Для предупреждения взлома рекомендуется отслеживать и устранять уязвимости, отказаться от установки большого количества взломанных и непроверенных бесплатных плагинов. Лучше не проявлять беспечность, подключаясь к ближайшему публичному Wi-Fi или используя чужие ПК.