Новости
- Що таке злом сайту? Інтернет-сайт вважається зламаним, в разі якщо стороння людина (будь-яким шляхом)...
- Як зламують сайти, і як можна захиститися?
- Як уникнути?
- Хостинг-провайдер
- Що робити?
- Злом CMS (системи управління веб-сайтом)
- Що робити?
- Де його можна замовити?
- Злом інтернет-сайту через компоненти та модулі
- Що робити?
- Установка прав доступу на файли
- Як виправити?
- SQL-ін'єкція
- Як захиститися?
- XSS
- Як уникнути злому?
- Ще рекомендації!
Що таке злом сайту?
Інтернет-сайт вважається зламаним, в разі якщо стороння людина (будь-яким шляхом) отримав доступ до файлів вашого інтернет-сайту, які зберігаються на сервері.
Навіщо ламають сайти?
Сайти зламують, як правило, для того, щоб заражати якимось вірусом комп'ютери користувачів, що заходять на них. Ще одна вкрай важлива мета - це розсилка спаму за допомогою вашого сервера, розміщення різних прихованих посилань на різноманітні сайти.
У всіх інших випадках - це цілеспрямований злом для того, щоб вкрасти інформацію, або ж вимога грошових коштів, щоб хакери перестали зламувати інтернет-сайт.
Як зламують сайти, і як можна захиститися?
Крадіжка паролів від хостингу і FTP
У разі якщо на персональному комп'ютері веб-майстра є вірус (або ж веб-майстер дав свої паролі від хостинг \ FTP-аккаунта людині, у якого на персональному комп'ютері вірус), то 90%, що дані паролі потраплять творцям вірусу і сайт з часом буде зламаний.
Як уникнути?
Завжди стежте за тим, щоб на вашому персональному комп'ютері не було будь-яких вірусів, також намагайтеся нікому не давати свої паролі від хостинг-аккаунта, а також доступу по FTP. Якщо даєте, то обов'язково переконайтеся в тому, що у даної людини на комп'ютері немає вірусів.
Поміняйте всі свої паролі на більш довгі, а також намагайтеся не зберігати їх на комп'ютері, а вже тим більше в веб-браузері. Крім того, рекомендуємо застосовувати безпечне SHH-з'єднання для завантаження файлів інтернет-сайту на сервер.
Хостинг-провайдер
Досить часто зломи відбуваються і з вини хостинг-провайдера, тому що на сервері може встановлено бути застаріле ПЗ, яке досить легко зламуються. При цьому веб-майстер не може ніяк на це вплинути.
Що робити?
Тут все дуже просто - розміщуйте свої сайти на надійному і солідному хостингу, який має гарну репутацію і безліччю клієнтів. У нашому футере, ви можете знайти рейтинги хостинг-провайдерів, з урахуванням різних потреб вашого інтернет-сайту.
Злом CMS (системи управління веб-сайтом)
Не важливо яка саме у вас CMS (самописна, платне або безоплатне). Якщо вона популярна, то тисячі хакерів з усієї планети шукають в ній уразливості для того, щоб мати спеціальний спосіб зламати одним махом багато тисяч інтернет-сайтів. Правда якщо хакери регулярно шукають «дірки» в коді систем управління сайтом, то творці даних CMS регулярно випускають оновлення (так звані патчі), які покращують безпеку і закривають «дірки».
Що робити?
Завжди стежте за тим, щоб на вашому інтернет-сайті була найновіша версія CMS, причому завантажена з офіційного ресурсу розробника, а не з іншого місця в Мережі. Якщо CMS розроблена саме під ваш сайт, то актуальним буде замовити спеціальний аудит безпеки веб-сайту.
Де його можна замовити?
Це важке запитання, оскільки фірм, які цим якісно займаються - одиниці, вони беруть за послуги досить чималі кошти. При виборі такої фірми звертайте увагу на її портфоліо, запитайте у її клієнтів, як якісно вони працюють.
Злом інтернет-сайту через компоненти та модулі
Якщо взяти будь-яку із зазначених вище CMS в голому вигляді (без сторонніх компонентів і модулів), то зламати її буде дуже складно навіть хакерам найвищого рівня. Головну небезпеку несуть розширення (плагіни, модулі, компоненти), які створюються різними сторонніми розробниками.
Так, наприклад, встановлюючи компонент коментарів, створений на тяп-ляп, ви таким чином дозволите хакеру замість прикріпленою картинки або коментаря залити на ваш сайт особливий PHP-скрипт, який і дозволить виконати злом.
Що робити?
Не користуйтеся додатковими розширеннями від будь-яких підозрілих розробників. Крім того, гранично уважно ставитеся до безкоштовних компонентів і плагинам.
Установка прав доступу на файли
Якщо ви встановите спеціальні права 777 на якийсь файл вашого інтернет-сайту, це буде означати те, що будь-яка людина зможе прочитати, виконати або записати даний файл. І, зрозуміло, це веде до того, що з часом хакер закине на ваш ресурс PHP-код, який його зламає і таким чином дасть контроль над веб-сайтом.
Як виправити?
Намагайтеся також, щоб на все директорії вашого сайту виставлені були права 755, а на всі файли 644. Але перш за все порадьтеся з творцем CMS, досвідченим програмістом або хостером, так як зміна прав на файли, цілком може призвести до того, що ресурс буде некоректно працювати.
SQL-ін'єкція
У переважній більшості сучасних інтернет-сайтів застосовуються бази даних (SQL), які необхідні для динамічного формування сторінок ресурсу, виходячи з дій користувача. Весь цей процес відбувається за допомогою SQL-запитів. В результаті досвідчений хакер може за допомогою вхідних даних ввести необхідний йому SQL-код, який потім виконається на сервері і таким чином призведе до злому ресурсу.
Як захиститися?
Перш за все використовувати захищену CMS. Якщо ви розбираєтеся в програмуванні, то тоді від SQL-ін'єкцій можна врятуватися за допомогою фільтрації різних SQL-запитів. Наприклад, в PHP є опція mysql_real_escape_string, що видаляє із запитів потенційно небезпечний код.
XSS
Суть такої атаки в тому, що хакер підкладає свій шкідливий код замість пароля, логіна та інших даних, які вводять користувачі.
Як уникнути злому?
На жаль подібним атакам часто піддаються навіть вельми відомі і популярні сайти (VK, Facebook) і протистояти їм досить важко. Наша рекомендація - використовуйте хорошу і стабільну CMS або найміть професійного програміста. Якщо на фахівця у вас немає грошей, то тоді приберіть самі зі свого ресурсу можливість зареєструватися, мати особистий аккаунт для будь-яких користувачів.
Ще рекомендації!
Перевіряйте ресурс на наявність вірусів.
Хостинг Ukraine має автоматичну перевірку на віруси!
Робіть бекап інтернет-сайту як можна частіше.
Спеціальні лог-файли містять в собі всі запити, надіслані до сервера і можуть, як правило, допомогти виявити лазівку, через яку ресурс був зламаний. Якщо ви в них, зрозуміло, розбираєтеся.
Але навіть, якщо і не розбираєтеся, зберігайте їх якомога частіше, оскільки хостинг провайдер зберігає логи конкретний час (близько двох тижнів). Якщо ваш інтернет-сайт заразили в будь-який більш ранній термін, використовувати лог-файли для пошуку «дірки», на жаль, вже не вийде.
Якщо на вашому сайті є опції оплати (необхідно вводити номера банківських карток), то використовуйте безпечний протокол https або користуйтеся якимись зовнішніми сервісами оплати.
Що таке злом сайту?
Як зламують сайти, і як можна захиститися?
Як уникнути?
Де його можна замовити?
Що таке злом сайту?
Навіщо ламають сайти?
Як зламують сайти, і як можна захиститися?
Як уникнути?
Що робити?
Що робити?