Припустимо, що на сайті закриті всі уразливості, пропатчити всі проломи і він працює на комерційній CMS самої останньої версії. Чи можуть зламати такий сайт?

Відповідь - так, можуть.

І для цього зовсім не обов'язково володіти надординарного здібностями і мати в арсеналі суперутіліти для злому. Все набагато простіше, сайт можуть зламати не тільки в результаті атак через веб.

По-перше, зламати добре захищений від веб-атак сайт можуть через сусідів по аккаунту. Якщо у веб-майстра кілька сайтів, то з найбільшими перепонами ймовірністю він розмістить всі сайти на одному акаунті хостингу. Дуже часто сайти на одному акаунті хостингу не ізольовані один від одного, тобто cкриптов одного сайту можна вносити зміни в файли іншого сайту. І злом одного сайту може привести до зараження всього shared-хостингу .

Прикро, якщо на хостингу п'ять сайтів, чотири з яких - добре захищені інтернет-магазини, а п'ятий - блог на уразливому WordPress'е або сайт-візитка на Joomla. І саме останній випадково виявляється в поле зору хакера. Іноді зустрічаються акаунти, на яких «панує» справжній бардак: безліч папок зі старими версіями сайтів, тестові майданчики, занедбані веб-проекти - і всі вони затишно сусідять з робочими веб-конячками, генеруючими прибуток.

У нашій практиці були випадки, коли зломи мультісайтового аккаунта відбувалися в результаті «незасвеченного» нігде- ні в пошукових системах, ні в соціальних мережах - тестового сайту на технічному домені. Якщо сайт відкривається в браузері і доступний для користувачів, то він доступний і для хакерів.

Сайт можуть зламати, перехопивши доступи. Припустимо, веб-майстер, перебуваючи в кафе або відвідуючи який-небудь захід (конференцію, форум, виставку), починає оновлювати на сайті контент. Для підключення він використовує WiFi, який лунає організаторами заходу. При цьому підключення до панелі сайту або FTP відбувається по незахищеному з'єднанню. Хто знаходиться поруч в цей момент - невідомо. Доступи від FTP, SSH, хостингу можуть бути легко перехоплені програмою-сніффером трафіку, яка працює у хакера, підключеного до тієї ж мережі або через зламаний WI-FI роутер (що зараз досить часте явище).

Є й інші сумні приклади. На початку березня до нас звернулася власниця сайту, чиї доступи з адміністраторськими правами до її веб-проекту були перехоплені в результаті зараження комп'ютера приходить бухгалтера. Історія банальна і в той же час повчальна. Бухгалтер мала доступ до сайту і партнерської базі, що зберігається на ньому, оскільки в її обов'язки входило щомісячне повідомлення партнерів про оплати. В результаті злому комп'ютера бухгалтера, хакер отримав повний доступ до сайту і базі клієнтів.

Яким би невразливим не був ваш сайт, зламати його можуть за допомогою брут-форс атаки - підбору паролів, якщо ваш пароль занадто простий. Незважаючи ні на що багато власників сайтів і веб-майстри наполегливо продовжують ігнорувати головне правило створення безпечних паролів - паролі повинні бути довгими і складними, містити випадкову комбінацію цифр, букв і символів, а не комбінації року народження і імен дітей. Найчастіше паролі від адміністраторських аккаунтів представляють собою просту комбінацію клавіш, яку легко запам'ятати або зручно відтворити на клавіатурі. Пам'ятайте, що якщо легко вам - легше простого хакерам .

Доступ до сайту зловмисники можуть отримати в результаті компрометації більш високого рівня - злому сервера: наприклад, злом VPS або виділеного сервера. Зловмисник може отримати логін і пароль від бази даних, потім через скрипт phpMyadmin завантажити бекдор і вже через нього виконати будь-яке необхідне дію з файлами і базою даних (включаючи "рутованія").

Злом сервера можуть здійснити і через старі компоненти операційної системи (до сих пір сотні серверів працюють на вразливою версії proftpd).

Нарешті, отримати доступ до добре захищеному сайту зловмисники можуть з вини ваших підрядників, які недостатньо акуратно зверталися з вашими логінами-паролями до сайту і хостингу, передавали доступи третім особам, працювали з заражених комп'ютерів і так далі.

Як мінімізувати ризики злому, які відбуваються не через веб?

Ви автоматично уникнете ряду проблем, якщо будете дотримуватися наведених нижче рекомендацій:

1. виберіть для розміщення своїх сайтів надійного хостера. Бракує досвіду і знань з даного питання? - Вибирайте хостинг-провайдера з ТОП-10 РФ і СНД. Чи не «ведіться» на дешеві тарифи «доморощених» хостерів. По суті, останні - навіть не постачальники хостингових послуг, а всього лише реселлери, які орендували або купили серверні майданчика за нижчою «оптової» ціною, а продавати будуть «в роздріб» за вищою. Належної турботи і сервісу від таких горе-хостерів не чекайте.
2. Якщо на акаунті хостингу знаходиться кілька сайтів, подбайте про те, щоб всі сайти були добре захищені. Важливі для вас веб-проекти часто зламують через забуті і давно непотрібні інтернет-ресурси, що є сусідами з ними на одному акаунті. Чи не потрібен сайт? Чи не плануєте інвестувати в його безпеку? - Заблокуйте на час. Підтримуйте порядок на своєму акаунті. Безлад на хостингу - шлях до біди.
3. Закрийте адмін панель сайту додатковим засобом захисту - наприклад, обмеженням по IP, серверної аутентифікації або якимось іншим елементом двухфакторной захисту - наприклад, через SMS. Таким чином ви зможете протистояти брут-форс атакам.
4. Регулярно міняйте паролі. Часта зміна паролів мінімізує ризики несанкціонованого проникнення на сайт зловмисників (навіть якщо в якийсь момент вони змогли перехопити доступи).
5. При роботі в відкритих WiFi мережах використовуйте захищене підключення. Придбайте VPN аккаунт і використовуйте його при роботі в публічних мережах.
6. Працюйте з безпечного протоколу SFTP, SFTPS, SSH замість небезпечного
7. проводьте інструктаж підрядників по безпечній роботі з вашим сайтом, перш ніж надати доступи від сайту і хостингу. А після завершення робіт поміняйте всі паролі, видаліть користувачів, яких створювали спеціально для виконання завдань, і перевірте сайт на предмет стороннього коду сканером шкідливого коду AI-BOLIT і веб-сканером ReScan.pro .