Содержание

Как защитить сайт от взлома

«Кому нужно взламывать наш сайт? Мы же не Пентагон» — думают многие владельцы ресурсов, пренебрегая защитой. И ошибаются. Даже небольшой и не самый популярный ресурс лучше защитить. Слабых мест может быть множество — от вредоносных вирусов, которые проникают через админку, хостинг или CMS до передачи доступа третьим лицам. Разбираемся, как защитить сайт от взлома и с какой целью вообще устраивают атаки сайтов.

Время чтения: 19 минут

  1. Как происходит взлом сайта
  2. Виды взлома
  3. Какую информацию может получит взломщик сайта
  4. Как обеспечить безопасность сайта
  • Ограничение доступа
  • Проверка на вирусы
  • SSL-сертификат
  • Резервное копирование сайта или бэкап
  • Обновление CMS сайта
  • Плагины и скрипты защиты
  • Защита сервера
  • Ограничение по входу в панель администрирования
  • Поиск слабых мест сайта
  • Как узнать, что на сайт взломан
  • Инструкция — что делать, если сайт взломали
  • Как происходит взлом сайта

    Взлом сайта — это ситуация, когда злоумышленник получает доступ к данным, которые хранятся на вашем ресурсе. Например, к логинам и паролям зарегистрированных пользователей, платежным данным и т. д. 

    Взлом сайта не стоит путать с DDOS-атакой. Цель у последней немного другая — «положить» сайт, т. е. сделать временно недоступным. Не так давно мы писали, что для этого недобросовестные конкуренты могут специально создавать избыточную нагрузку на сайт, используя парсинг. В той же статье мы рассказали, как от этого защититься.

    Теперь давайте рассмотрим, что позволяет взломать сайт.

    1. Уязвимость CMS, фреймворков или плагинов. Есть даже специальные программы, которые позволяют такие уязвимости находить. Либо хакер может узнать, на чем разработан ваш сайт, и вручную поискать «дыры» в этом движке.
    2. Незакрытый каталог на сайте — это позволяет увидеть листинг служебных файлов и посмотреть их содержимое. Каталоги таких сайтов можно легко посмотреть с помощью специальных программ (источник — revisium.com): 
    3. Переход администратора на вредоносные порталы, которые уже заражены вирусами, или по подозрительным ссылкам. После этого запускается скрипт, который позволяет получить доступ к админке сайта. Например, «знакомый» может попросить админа портала проголосовать за него по ссылке.  
    4. Использование ненадежных программ для работы с сайтом. Например программа, через которую происходит подключение к FTP или SSH, будет передавать доступы третьим лицам.
    5. Размещение рекламы на сайте из подозрительных и ненадежных источников. В этом случае вы думаете, что устанавливаете на свой сайт код, принадлежащий, например, баннеру. А скрипт на самом деле получает доступ к данным посетителей вашего ресурса.

    К сожалению, в сети очень много готовых решений для атаки на ресурсы и запуска вирусов. К тому же, чтобы взломать сайт, не обязательно использовать какой-то софт. Злоумышленник может получить данные и напрямую. Например:

    • от сотрудника, ушедшего из компании и имевшего доступы к админке сайта — например, если он обижен на руководство или по какой-то причине хочет навредить;
    • хакер отправляет письмо, представившись сотрудником хостинга или сервиса, и просит дать ему доступы, якобы для устранения каких-то неполадок, или так: 
    • можно получить доступ к файлу, где админ недальновидно хранит доступы — поэтому для этого лучше использовать специальные защищенные программы.

    Полезная статья — «Как сканировать сайт на вирусы».

    Минусы взлома очевидны — это падение трафика, недоверие пользователей к вашему ресурсу и даже бан со стороны поисковиков. Плюс, ваш сайт может служить для дальнейшего заражения компьютеров посетителей.

    Если поисковик заметит, что ваш сайт заражен, то предостережет пользователя от перехода на него

    Виды взлома

    1. SQL–инъекция. SQL — это язык программирования. А такая инъекция — это вставка SQL-запроса в текст, отправляемый через интерактивные формы. В данные, которые передаются через запросы GET, POST или в значения Cookie, внедряется SQL-код. Он выполняет запросы к базе данных. И там можно, например, удалить всю информацию или извлечь данные из базы.
    2. XSS — межсайтовый скриптинг. Атака происходит за счет внедрения кода на какую-то страницу сайта. Этот код взаимодействует с удаленным сервером хакеров, когда посетитель открывает страницу. Если сравнивать с предыдущим способом, то этот безопасен для сервера.
      Но несет вред пользователям площадки. Для сайта он тоже может быть опасен, если хакер получит cookie админа ресурса. XSS-атака возможна на сайтах, где есть бреши в защите.
    3. Уязвимости в CMS. Об этом мы уже писали в предыдущем разделе. Зная, какой движок вы используете, хакер может поискать слабые места именно в нем.
    4. Ненадежный пароль. Задумайтесь о надежности пароля, если вы используете один из самых популярных: 
    5. Web-shell — сценарий для загрузки на сервер и удаленного администрирования сайта хакером. Его можно внедрить на сайт, например, при обновлении ресурса. 
    6. Brute-force — применение программ, которые автоматически перебирают пароли, подбирая нужный.
    7. Фишинг. Обычно рассчитан на похищение данных пользователей — например, платежных. Но фишинг можно применять и для того, чтобы узнать доступы к админпанели сайта или FTP-сервера. 
    8. Взлом через phpMyAdmin. Последний — это приложение с открытым кодом для администрирования MySQL. Если говорить простыми словами, то это визуальный интерфейс для работы с базой данных. Т. к. он обычно устаревший, в нем может быть много багов.
    9. Общий хостинг
      — т. е. когда провайдер использует всего один сервер и размещает на нем все проекты. Обычно такой вариант размещения выбирают, чтобы сэкономить. Но такая экономия может обойтись довольно дорого, если злоумышленник найдет бреши в защите других сайтов, размещенных на том же сервере. Через них он может получить доступ к вашим правам доступа.
    10. Использование программ, которые имитируют интерфейс сайта. Веб-мастер думает, что вводит доступы в настоящий браузер — а на самом деле передает их злоумышленникам.
    11. Оставление ссылок и файлов хакерами, выдающими себя за пользователей. Это особенно актуально для форумов или площадок, где можно оставлять комментарии и отзывы. Вредоносную ссылку можно закинуть на сайт, даже если на нем есть возможность загрузить аватар.

    Какую информацию может получит взломщик сайта

    Может показаться: ну какой толк взламывать ваш маленький интернет-магазин или блог начинающего специалиста? На самом деле, хакеры всегда найдут, чем «поживиться» на любом портале. Давайте рассмотрим их цели. 

    1. Превращение сайта во временное хранилище незаконной информации. Злоумышленник загружает в базу данные, хранение и распространение которой карается законодательно. Отвечать за это будет владелец сайта.
    2. Кража базы пользователей.
      Например, конкурент может заказать хакеру «увести» данные покупателей интернет-магазина и пользователей сервиса.
    3. Воровство платежных данных пользователей. За счет него злоумышленники проводят незаконные финансовые операции, а доверие к компании падает до нуля. Поэтому так важно использовать надежные платежные системы, которые используют специальную защиту. Выбрать такую систему поможет наш обзор платежных систем для сайта.
    4. Запуск спам-рассылки. Тут все просто — данные пользователей воруют, чтобы запустить по ним массовую рассылку.
    5. Показ рекламы, выручка от которого идет злоумышленникам.
    6. Атаки на сайты, расположенные на том же сервере.
      В этом случае зараженная площадка выступает в роли прокси-сервера.
    7. Размещение спам-ссылок на страницах. Пользователи будут по ошибке переходить на подобные ресурсы, а ваша площадка будет передавать им ссылочный вес. Самое неприятное, что Google может выявить, что вы ссылаетесь на вредоносную площадку и решить, что вы заодно со злоумышленниками. Из-за этого вашей площадке могут грозить санкции. 
    8. Размещение ссылок, ведущих на площадки, где пользователя уже поджидают другие вредоносные скрипты. Таким образом, вредоносная площадка может «размножать» вирусы. А они, в свою очередь, будут красть персональные данные пользователей.
    9. Скрытый майнинг. На сайт внедряется скрипт-майнер. Когда пользователь переходит на такой ресурс, его компьютер становится инструментом для добычи криптовалюты.
    10. Нанесение урона репутации компании. Хакер может разместить на главной странице сайта что угодно. Например что-то подобное — и это еще не самый плохой пример:

    Как обеспечить безопасность сайта

    Ограничение доступа

    Желательно, чтобы пользователи имели доступ только к 80 и 443 портам сервера.  Эти порты нужны для просмотра контента посетителями сайта. Остальные должны быть закрыты или доступ к ним должен быть ограничен по IP.

    Проверка на вирусы

    Администратор должен регулярно проверять свой компьютер на вирусы и использовать на нем антивирус. Сканировать нужно и сам сайт. Для этого существует множество онлайн-сканеров, например:

    • AI-BOLIT;
    • QUTTERA;
    • Kaspersky VirusDesk;
    • VirusTotal;
    • Dr. WEB;
    • ReScan.pro;
    • Avast.

    Пример результатов проверки Dr. WEB

    Есть и специальные расширения для браузера для проверки сайта. Советуем почитать любые обзоры в сети, чтобы выбрать для себя подходящее решение. Читайте также полезную статью на блоге наших партнеров — «Как сканировать сайты на вирусы». 

    SSL-сертификат

    Благодаря тому, что SSL-сертификат шифрует данные, они не попадут в руки злоумышленников. Его ценность хорошо понимает Google, поэтому еще с 2014 года поднимает в выдаче сайты, которые используют эту технологию. Сейчас примерно 80% топа выдачи занимают именно такие площадки:

    Где взять SSL-сертификат:

    • сделать собственный — например, в сервисе Cpanel, но иногда из-за самописных сертификатов пользователи могут видеть такие уведомления: 
    • выбрать бесплатный SSL-сертификат — в сети достаточно решений, но они не дают компенсации при хакинге и действует такой сертификат только три месяца;
    • платные сертификаты — обойдутся от 20 до 500$ можете выбрать что-то из этого рейтинга:  

    Больше подробностей — в статье «SSL-сертификаты: что это и как работает, особенности и виды». 

    Резервное копирование сайта или бэкап

    Периодически копируйте содержимое вашего сайта и сохраняйте в облаке или на диске. Например, раз в день или месяц. Этот процесс можно проводить автоматически с заданной периодичностью. Плюс этого способа еще и в том, что если разработчик случайно удалил какие-то файлы, можно легко восстановить данные.

    Чаще всего сохраняют не одну копию сайта, а, например, версии за каждый месяц. Если ресурс весит много, можно специально арендовать сервер под бэкапы. Также советуем делать копии перед выкаткой обновлений, апдпейтом плагинов.

    Резервное копирование можно сделать самостоятельно через инструменты хостинга или FTP-клиент. Также есть компании, которые предоставляют услуги по созданию бэкапов. В этом случае они несут ответственность за сохранность данных. 

    Пример услуги по резервному копированию от GoDaddy

    Также нужно обязательно делать бэкапы базы данных — это делается отдельно от FTP.  И еще желательно проверить, можно ли восстановить сайт из бэкапа. Иногда бывает, что бэкапы делаются, но в них поврежденные данные или вообще ничего нет.

    Обновление CMS сайта

    Разработчики знают, что в CMS обычно ищут и находят уязвимости. Поэтому периодически выпускают обновления, направленные на усиление безопасности. Внимательно читайте описания апдейтов вашей CMS и, если они касаются защиты от хакерских атак — обязательно устанавливайте. Но опять-таки, не забывайте делать бэкапы при каждом обновлении.

    Пример уведомления про обновление в админке WordPress

    Плагины и скрипты защиты

    Существуют различные «надстройки» для дополнительной защиты ресурса от взлома. Просто введите свою CMS и загуглите, какие решения помогут защитить сайта от хакерских атак и взлома. Вот, например, список самых популярных плагинов для WordPress:

    • Sucuri;
    • Cloudflare;
    • Wordfence Security;
    • All In One WP Security & Firewall.

    Вообще всегда лучше использовать популярные движки — у них есть и проверенные плагины, и обновления они выпускают чаще.

    Защитить сайт могут не только плагины, но и специальные скрипты. Единственное, тут нужно быть чуть более технически подкованным. Одни из них следят за любыми изменениями на сайте и уведомляют о них веб-мастера. Другие защищают код сайта от добавления стороннего SQL-кода. Другие реализуют постраничный вывод информации из базы данных. Это не позволит злоумышленником легко получить ее одним махом.

    Читайте обзор полезных защитных скриптов для сайта.

    Защита сервера

    1. SSH-ключи. Криптографические скрипты позволяют шифровать аутентификацию с использованием открытых и закрытых ключей. Для входа не нужно использовать пароль — ведь его может автоматически подобрать хакер.
    2. Браундмауэр. Может ограничить или заблокировать доступ ко всем портам площадки. Исключения задает сам вебмастер. В идеале, такая программа должна быть установлена на каждом сервере.
    3. Защита паролей. Никогда не передавайте их по почте или в чате, не храните в блокноте, не подбирайте популярные пароли. Установите двухэтапную аутентификацию для входа в админ-панель.
    4. VPN. Сделайте частную сеть, доступ к которой будет только у выбранных серверов. Т. е. компьютеры будут соединяться безопасным каналом связи, по которому можно обмениваться данными. 

    На сервере должен быть настроен мониторинг нагрузки. Так вы сможете увидеть аномальную активность и мониторить изменения системных файлов.

    Ограничение по входу в панель администрирования

    Настройте ограничения на количество попыток ввода пароля. Это поможет вам защититься от бутфорса, о котором мы писали выше.

    Поиск слабых мест сайта

    Используйте специальные сервисы, чтобы проверить уязвимости XSS. Например, XSS и SQL Injection Сканер или Acunetix Web Security Scanner. В результате вы получите подробный отчет и увидите слабые места, над которыми стоит работать:

    Также можно проверить сайт по Google Hacking Database (GHD). Он находит сайты с похожими характеристиками, которые уязвимы к конкретным атакам. Например, площадки с незакрытым содержимым каталогов.

    Как узнать, что на сайт взломан

    Самое неприятное, что обычно злоумышленники пытаются скрыть, что взломали сайт. Иначе владелец начнет бить тревогу, выявит вредоносный элемент и защитит свою площадку. Но есть способы обнаружить взлом, даже если он не заметен на первый взгляд.

    Например:

    • при переходе на сайт отображается предупреждение, что он содержит вредоносный контент — аналогично, если об этом предупреждает Google Ads, хостинг и т. д.;
    • сайт перестал отображаться в выдаче или быстро теряет позиции;
    • ресурс подозрительно долго грузится, слишком активно потребляет ресурсы процессора;
    • пользователи жалуются на спам-рассылку;
    • на сайте обнаружились картинки или ссылки, которые вы не добавляли сами, или любой посторонний контент;
    • появился неизвестный пользователь с правами админа;
    • при переходе на площадку вас перенаправляет на другой ресурс или просит что-то скачать/обновить.

    Если что-то из этого имеет место, сделайте следующее, чтобы копнуть глубже:

    • внимательно проанализируйте код сайта на наличие посторонних фрагментов кода, iframe-вставок;
    • посмотрите в Google Analytics, с какого момента трафик начал резко снижаться, на каких страницах внезапно повысился процент отказов и т. д.;
    • проверьте, на какие площадки ссылается ваш сайт — это можно сделать, например, с помощью Netpeak Spider: 
    • проверьте нагрузку на процессор вашего компьютера, чтобы исключить майнинг — для этого нажмите Ctrl + Shift + ESC, если речь о Windows;
    • пробейте ресурс через панель веб-мастера в Google — они покажут, где есть вредоносный код, число страниц в индексе;
    • проверьте серверные access логи на подозрительную активность — например, массовые запросы с одного IP-адреса или с разных адресов но с очень похожими характеристиками;
    • проверьте логи на предмет того, почему резко выросла производительность сайта — с какого момента его что-то начало «грузить». 

    Специалисты советуют проводить такую проверку хотя бы раз в неделю, чтобы вовремя заметить взлом.

    Инструкция — что делать, если сайт взломали

    Если у вас нет штатного программиста или вы не сильны в технических аспектов — можно заказать услуги по восстановлению работы сайта. Специалисты найдут и устранят вредоносный код, протестируют безопасность сайта, устранят уязвимости и разблокируют сайт в поисковиках. Также они, скорее всего, дадут рекомендации, как усилить безопасность. 

    Если хотите восстановить работу сайта самостоятельно, вам придется пройти такие шаги.

    1. Первым делом поставьте заглушку, отдающую 200 ответ сервера. Укажите на ней, что на сайте ведутся технические работы и скоро он снова будет доступен.
    2. Соберите информацию из логов — access_log и error_log, журнал FTP-сервера. Запишите все ошибки и аномалии, которые вы нашли, с указанием даты и страниц.
    3. Свяжитесь с хостинг-провайдером и расскажите о своей ситуации. С одной стороны, он сможет проанализировать взлом, с другой — будет предупрежден о том, что такие ситуации возможны. Что особенно важно, если вы используете общий хостинг. 
    4. Пройдитесь антивирусом на всем компьютерам, с которых заходили на ваш сайт.
    5. Проверьте, есть ли ваш IP-адрес в спам-базах.
    6. Замените пароль к хостингу, админке площадки, FTP-сервера. Пароль должен быть достаточно сложным. Тут опять-таки может помочь сервис аналогичный Keypass, который генерирует длинные пароли, содержащие различные символы.
    7. Восстановите работу площадки, используя бэкап.
    8. Если вы давно не обновляли СMS, это нужно обязательно сделать хотя бы сейчас. Посмотрите все уведомления от движка про апдейты и загрузите их.
    9. Просканируйте сайт на наличие вредоносных скриптов одним из сервисов, которые мы упоминали в разделе про проверку безопасности сайта.
    10. Установите защитные плагины и скрипты, если их у вас еще нет.
    11. Настройте для админа авторизацию по IP-адресу, отключите PHP-функции, которые обычно не используются на сайте.
    12. Уведомите Google о том, что сайт «вылечен». Сообщите сервису, что очистили свой сайт и попросите удалить его из черного списка. 

    Как защитить свои личные данные от хакеров

    Мир технологий постоянно развивается, как и наши взаимоотношения с интернетом. В девяностых годах нам приходилось беспокоиться только о безопасности своей электронной почты. Затем появился интернет-банкинг, приложения для смартфонов, Facebook. И вот – теперь почти вся наша жизнь проходит в режиме онлайн, а наши действия постоянно кто-то отслеживает. История браузеров сохраняется интернет-провайдерами и отслеживается Facebook, ВКонтакте и другими рекламодателями. Даже ваши устройства интернета вещей могут передавать сведения о вас. Поэтому защита конфиденциальности своих данных – задача сама по себе сложная, даже без вмешательства хакеров.

    Какая информация доступна хакерам?

    Возможно, вы и не подозреваете, как много ваших личных данных находится в Сети. Рассмотрим некоторые виды этой информации и разберемся, почему она может быть интересна хакерам.

    1. PII (personally identifiable information)– личные сведения. К ним относятся: ваше имя, почтовый адрес, адрес электронной почты, номер страхового полиса, индивидуальный номер налогоплательщика, дата рождения, медицинские записи, сведения об учебе и работе. Этих данных более чем достаточно для кражи вашей личности. В частности, хакерам будет интересна история ваших покупок на Amazon или инвестиционная сделка с онлайн-брокером. С помощью этих персональных данных злоумышленники могут скомпрометировать и другие ваши учетные записи.
    2. Все электронные письма, SMS- и мгновенные сообщения хранятся на серверах. В вашей переписке может быть информация, не предназначенная для посторонних глаз, – конфиденциальная деловая документация, романтические сообщения и письма или данные банковских счетов. Хакеров также интересуют списки ваших контактов. Завладев ими, злоумышленники смогут рассылать фишинговые письма всем вашим знакомым.
    3. Данные вашего браузера – cookie-файлы, журналы провайдера, плагины с данными – представляют ценность для рекламодателей. А с появлением технологий обработки больших данных эта информация стала на вес золота.
    4. Тем временем вы совершаете звонки или проводите видеоконференции через интернет. Уверены, что вас никто не подслушивает?

    Вы можете и не догадываться, что кто-то уже давно записывает ваши разговоры. Или вспомните, как Facebook настойчиво предлагает вам поделиться с друзьями ссылкой на онлайн-магазин, где вы что-то купили, или недавно прослушанной песней, или как в браузере всплывает реклама товара, который вы искали пару недель назад.

    Хакеры постоянно совершенствуют свои методы. К примеру, более десяти лет фишинг был одним из стандартных приемов кибермошенников: вы получали электронное письмо со ссылкой, которая либо вела на поддельный сайт, либо устанавливала вредоносное ПО на ваш компьютер. Сейчас же для похищения ваших персональных данных злоумышленники используют поддельные ссылки и взломанные учетные записи в социальных сетях.

    Общественные сети Wi-Fi – удивительная вещь: благодаря им вы можете работать из любой кофейни. Но в то же время они крайне небезопасны. Незащищенные соединения – еще один способ для хакеров проникнуть в ваше устройство. Как же защитить себя и свои личные данные от этой угрозы?

    Используйте VPN для защиты от хакеров

    Публичные сети Wi-Fi не требуют аутентификации. Здорово, правда? Вот и хакеры того же мнения, ведь она им тоже не нужна. Они могут прибегнуть к методу Man-in-the-Middle («человек посередине») или даже установить липовую точку доступа к Wi-Fi для перехвата ваших личных данных.

    Если вам нужен интернет на ноутбуке, лучше подключите его к мобильной сети 4G, включив режим модема на своем телефоне.

    А еще лучше используйте виртуальную частную сеть (VPN) в качестве персонального интернет-шлюза.

    Как VPN поможет вам предотвратить хакерскую атаку?

    VPN-сеть перенаправляет трафик, скрывая ваш IP-адрес и не позволяя мошенникам отследить вас. Она также шифрует отправляемые вами данные, поэтому даже если кто-то их перехватит, он не сможет их прочесть. Это касается и вашего интернет-провайдера. Итак, VPN – прекрасный способ обезопасить ваши личные данные в интернете.

    У этого метода есть и ряд других преимуществ, помимо онлайн-защиты. С VPN вы можете посещать сайты, заблокированные вашим провайдером, – в некоторых странах это могут быть Facebook, Twitter, ВКонтакте. Возможность обходить локальное блокирование контента может пригодиться во время поездок за границу, если вам потребуется доступ к вашему счету, который может быть закрыт для «иностранных» пользователей.

    Есть бесплатные VPN, но они могут предоставляться на определенных условиях. Лучше воспользуйтесь платной версией – не стоит экономить на защите своих данных.

    Как шифрование защищает вашу конфиденциальность

    Шифрование – еще один способ защитить свои данные в Сети. Скорее всего, часть вашей информации уже шифруется – это практика некоторых организаций, обрабатывающих личные данные пользователей. Например, на сайте вашего банка наверняка используется шифрование с помощью протоколов SSL и TLS.

    Если вы видите замочек в начале адресной строки вашего браузера, значит, соединение между ним и сервером зашифровано. Если вы заполняете онлайн-форму на сайте, где такая защита не предусмотрена, хакеры могут внедрить на хост-сервер вредоносную программу для прослушивания ваших разговоров и кражи ваших данных. При использовании SSL/TLS-протокола такого не случится.

    Если URL-адрес начинается с https:// вместо http://, это также означает, что на сайте используется SSL/TSL-шифрование. Протокол HTTPS гораздо безопаснее, чем HTTP. Однако помните, что шифрование защищает только передаваемые данные. Как только они попадают на сервер компании, они становятся уязвимыми, например в случае атаки на корпоративную сеть.

    Звонки по Skype полностью зашифрованы – при условии, что они совершаются исключительно по Skype. Но если вы звоните со Skype на обычный телефонный номер, соединение по PSTN (обычная телефонная сеть) не шифруется и разговор может быть подслушан. Владельцы iPhone и смартфонов Android также могут воспользоваться зашифрованным «секретным чатом» на Facebook. На стационарных компьютерах и ноутбуках эта функция недоступна.

    Одна из причин популярности WhatsApp – сквозное шифрование сообщений. Эта функция есть и в других приложениях, но она, как правило, отключена. Найдите и включите ее самостоятельно – поверьте, она вам нужна.

    Скрывать историю посещений сайтов также помогает анонимный зашифрованный браузер Tor. Им часто пользуются авторы журналистских расследований и НПО, когда им приходится работать во враждебной или опасной обстановке. Тем не менее Tor не дает стопроцентной защиты: он уязвим для вредоносного ПО и атак «человек посередине».

    Шифрование – отличный способ защитить свои данные онлайн. Вот только не все правительства с этим согласны. Некоторые из них принуждают провайдеров оставлять лазейки для служб безопасности, чтобы у тех был доступ к зашифрованным данным. Проблема в том, что такой лазейкой могут воспользоваться хакеры.

    Ограничьте свое присутствие в Сети, чтобы защитить свою конфиденциальность

    Если вы беспокоитесь о безопасности своих персональных данных, возможно, вам стоит ограничить свое присутствие в интернете. Мы уже привыкли выкладывать фотографии в Сеть и рассказывать друзьям в социальных сетях, куда мы ходим и что слушаем. При этом мы не всегда задумываемся, куда попадает эта информация, кто может ею воспользоваться и для чего.

    Поэтому чтобы защитить ее, не стоит всегда соглашаться с рекомендациями сайтов и приложений – в частности, бездумно отмечать своих друзей на фото. Или вы можете отключить функцию определения местоположения в некоторых социальных сетях. Чем вы менее активны в Сети, тем меньше риск компрометации ваших данных. Есть и другие способы оградить личную информацию от посторонних глаз.

    • Включение настроек приватности в социальных сетях: пусть ваши публикации в Facebook видят только ваши друзья, а не все подряд.
    • Ограничение круга тех, кто может отправлять вам заявки в друзья: например, выберите в настройках приватности «друзья моих друзей» вместо «кто угодно».
    • Отключение в социальных сетях функций определения местоположения, распознавания лица, а также блока с личными интересами и хобби. К сожалению, некоторые сайты показывают ваше местоположение, хотите вы того или нет. Это минус: не стоит сообщать потенциальным грабителям, что вас нет дома. Вы можете просто отключить GPS в вашем смартфоне, чтобы вас нельзя было отследить.
    • Отказ от получения рассылок, которые для вас уже не актуальны. Можно завести дополнительный электронный почтовый ящик для совершения разовых покупок, отправки запросов о страховании и прочих подобных действий. Оставьте личную почту для общения с друзьями и родными.
    • Защита IoT-устройств, отслеживающих ваши привычки. Поставьте на свои устройства интернета вещей надежный пароль, подключите их к отдельной гостевой сети, чтобы через них нельзя было получить доступ к вашим учетным записям, и отключайте от сети устройства, которыми вы больше не пользуетесь.
    • Редактирование фотографий. Сдали экзамен по вождению и хотите похвастаться своим достижением перед друзьями, опубликовав фото результатов экзамена? Не забудьте закрасить на снимке свой адрес, номер телефона и другие личные данные.
    • Отключение автоматических функций в приложениях и на сайтах. Некоторые люди, например, запрещают Google автоматически заносить их запланированные поездки в календарь.

    Помните, что социальные сети задумывались не как рекламный бизнес, а как средство сделать жизнь пользователей приятнее и разнообразнее. Пусть вам придется потрудиться, зато ваши страницы в социальных сетях будут служить вам по назначению – в развлекательных целях – и перестанут быть инструментами для выкачивания ваших персональных данных.

    Защита персональных данных с помощью антихакерского ПО

    Сегодня существует большой выбор программ для защиты ваших данных онлайн. Одни мешают сайтам отслеживать ваши действия в Сети, другие не позволяют хакерам устанавливать вредоносное ПО на ваш компьютер. Одни доступны в виде расширений к браузеру, другие нужно устанавливать отдельно. Пожалуй, называть их антихакерским ПО слишком смело. Серьезно настроенного хакера они не остановят, но сильно усложнят ему задачу по взлому вашего компьютера и краже ваших данных.

    Например, плагины в браузере не позволяют сайтам вас отслеживать. Facebook, например, делает это даже в фоновом режиме, сохраняя историю вашего браузера и используя ее в дальнейшем для подбора контекстной рекламы. Цель довольно безобидна, однако уже не раз были случаи компрометации данных, собранных Facebook, поэтому стоит позаботиться об их безопасности.

    Вам нужна надежная защита от вирусов и вредоносного ПО. Стоит клавиатурному шпиону попасть в ваш компьютер – и прощай, онлайн-конфиденциальность. Кроме того, не помешает время от времени чистить компьютер или смартфон, удаляя все хакерские программы.

    Можно также установить приложение, которое сотрет все данные с вашего смартфона в случае его потери или кражи. А если ваши устройства синхронизированы, вы можете удаленно стереть данные с любого из них, не допустив хакеров к вашему списку контактов или банковским данным.

    Хоть это и не совсем антихакерское ПО, но хороший менеджер паролей – на вес золота. Использование отдельных надежных паролей для каждой учетной записи – основная мера предосторожности, позволяющая снизить риск взлома. Но это непросто, если у вас много учетных записей. Менеджер паролей поможет их обезопасить, но и его можно взломать, поэтому придумайте для него надежный пароль.

    Вы можете установить все эти средства защиты по отдельности или воспользоваться решением Kaspersky Total Security – в нем есть все для защиты данных.

    Как обезопасить ваши персональные данные

    Для защиты онлайн-данных нужно обезопасить свои устройства и подключаться только к надежным сетям. Мы уже говорили о некоторых инструментах, которые помогут вам в этом, включая менеджер паролей. А теперь мы расскажем, как еще вы можете защитить свою личную информацию от хакеров.

    • Включите двухфакторную аутентификацию в своих учетных записях. Например, в PayPal для каждой операции требуется SMS-подтверждение. Другие системы используют для двойной верификации биометрические маркеры (отпечатки пальцев, различные паттерны) или даже физические брелоки и электронные ключи.
    • Не загружайте неофициальные приложения на свой смартфон– пользуйтесь App Store или Google Play.
    • Предоставляйте мобильным приложениям доступ к функциям смартфона с осторожностью. Если текстовый редактор запрашивает доступ к вашей камере и микрофону, данным о вашем местоположении, встроенным покупкам и вашей учетной записи Google – хорошенько задумайтесь.
    • Удаляйте программы и приложения, которыми вы уже не пользуетесь.
    • Отключите «запуск от имени администратора» на всех ваших устройствах, не взламывайте смартфон и не устанавливайте на него несанкционированную прошивку. Тогда, если хакер и получит доступ к какому-то из ваших приложений, он все равно не сможет получить контроль над устройством, изменить его настройки и установить на него собственное ПО.
    • Регулярно обновляйте программное обеспечение. Хакеры постоянно находят новые слабые места в устаревшем ПО и старых версиях операционных систем.
    • Отключите функцию автозаполнения. Она экономит время, но если это удобно для вас, то это удобно и для хакеров. Все подставляемые данные должны где-то храниться, например в папке вашего браузера. Именно там хакер в первую очередь будет искать ваше имя, адрес, номер телефона и другие ключевые данные, которыми он воспользуется в своих интересах.
    • Для совершения особо важных операций используйте VPN или приватный режим.
    • Люди постоянно теряют свои смартфоны, А еще их очень любят карманники. Не поленитесь включить блокировку экрана и, как мы уже советовали, установите программу для удаления данных на случай потери устройства.
    • Придумайте для своего роутера новое имя и надежный пароль. Новый пароль с использованием WPA-аутентификации поможет вам в определенной мере защитить свой роутер от взлома. Но зачем менять имя пользователя? Все просто: чаще всего по нему можно узнать тип роутера или сети, к которой он подключен. Поэтому придумайте другое имя (желательно не ваше собственное), чтобы лишить хакеров столь ценной для них информации.
    • Не забывайте выходить из системы! Завершив работу в своей учетной записи, не забудьте выйти из нее. Игнорируя это правило, вы подвергаете свои данные высокому риску компрометации. К счастью, в наше время большинство банковских онлайн-сервисов завершают сеанс работы, если клиент уже какое-то время не совершает никаких действий. Но самая большая опасность кроется в социальных сетях.

    Наши советы помогут вам закрыть все лазейки, которыми обычно пользуются хакеры для взлома сетей, приложений и устройств. Вкупе с такими мерами предосторожности, как ограничение онлайн-активности, использование VPN и шифрования, они помогут вам надежно защитить персональные данные.

    И наконец, если вы стремитесь оградить свою личную информацию от мошенников, оставайтесь в курсе новейших решений в сфере кибербезопасности. В ответ на все новые угрозы появляются новые способы борьбы с ними. Обновляйте не только компьютер, но и ваши знания – регулярно изучайте, что есть нового в мире IT-безопасности и читайте наши последние статьи на сайте Kaspersky. com.

    Полезные ссылки

    Как предотвратить кражу личных данных в Facebook

    Утечка личных данных в Сети – чем это грозит?

    Масштабный взлом аккаунтов знаменитостей, и как это может затронуть вас

    Как избежать рисков при подключении к публичной сети Wi-Fi

    Защитите свой сайт от хакеров

    У вас есть много причин защитить свой сайт от хакеров . Если у вас есть веб-сайт электронной коммерции, вы, вероятно, уже столкнулись с попыткой взлома. Хакеры нацелены даже на простые веб-сайты, и вы даже не догадаетесь, почему. Вам нужна безопасность сайта.

    Последствия взлома вашего веб-сайта весьма серьезны. Вредоносное ПО на вашем веб-сайте может украсть данные, а хакеры могут продать их в даркнете или использовать для злонамеренных действий. Вредоносное ПО, необходимое для компрометации веб-сайтов, также доступно как услуги по найму . Это позволяет даже тем пользователям, у которых нет значительных навыков работы с Интернетом, атаковать, наносить вред или ставить под угрозу ваш веб-сайт.

    10 мер безопасности для защиты вашего веб-сайта от хакеров

    Следуйте приведенным ниже советам по безопасности веб-сайта, чтобы предотвратить и защитить ваш веб-сайт от взлома:

    • Обновленное программное обеспечение

    • Защита от атак с использованием межсайтовых сценариев (XSS)

    • Атаки с внедрением SQL

    • Двойная проверка данных формы

    • Политика загрузки файлов

    • Использование хостинг-провайдера

    • Брандмауэр

    • Отдельный сервер базы данных

    • Обеспечение безопасности HTTPS

    • Политика паролей

    Советы по безопасности веб-сайта:

    1. Обновленное программное обеспечение

    Вы всегда должны обновлять программное обеспечение операционной системы, другое прикладное программное обеспечение (например, систему управления контентом), решение для защиты от вредоносных программ и решение для обеспечения безопасности веб-сайта с использованием последних исправлений и определений. Ваш хостинг-провайдер также должен обновлять свое программное обеспечение, однако этот контроль не в ваших руках. Вы должны выбрать хостинг-провайдера, который поддерживает репутацию надежного поставщика услуг безопасности.

    2. Защита от атак с использованием межсайтовых сценариев (XSS)

    Хакеры могут внедрить вредоносный код JavaScript на ваши страницы и изменить их содержимое, а когда пользователи зайдут на ваши веб-страницы, их учетные данные и данные cookie для входа будут украдены. Вы не должны разрешать внедрение активного содержимого JavaScript на свои веб-страницы, чтобы обеспечить безопасность веб-сайта.

    3.Атаки с внедрением SQL

    вы всегда должны использовать параметризованные запросы и избегать стандартного Transact SQL , так как это позволит хакерам вставить мошеннический код.

    4. Двойная проверка данных формы

    Рекомендуется выполнять проверку как на стороне браузера, так и на стороне сервера. Двухуровневый процесс проверки поможет заблокировать вставку вредоносных скриптов через поля формы, принимающие данные.

    5. Политика загрузки файлов

    В зависимости от требований вашего бизнеса вам может потребоваться разрешить пользователям/посетителям веб-сайта загружать файлы или изображения на ваш веб-сервер. Хакеры могут загрузить вредоносный контент, чтобы скомпрометировать ваш сайт. На самом деле образ может быть вредоносной программой (атаки с двойным расширением) . Вы должны разрешать загрузку файлов только с особой осторожностью. Вы должны удалить права на выполнение для файла, чтобы он не мог быть запущен, чтобы обеспечить безопасность веб-сайта.

    6.Используйте хостинг-провайдера

    Размещение вашего веб-сайта у хостинг-провайдера освобождает вас от большей части рисков, связанных с безопасностью веб-сайта, поскольку они позаботятся о безопасности веб-сайта для веб-сервера.

    7. Брандмауэр

    При обслуживании вашего веб-сервера вы должны использовать надежный брандмауэр и ограничивать внешний доступ только к портам — 80 и 443.

    8.Отдельный сервер базы данных

    Если вы можете себе это позволить, было бы целесообразно поддерживать отдельный сервер базы данных и веб-серверы, так как это обеспечивает лучшую безопасность данных.

    9. Обеспечьте безопасность HTTPS

    Всегда используйте HTTPS для всего веб-сайта. Это гарантирует, что пользователи не будут общаться с мошенническими серверами.

    10.Политика паролей

    Внедрите строгие политики паролей и убедитесь, что они соблюдаются. Объясните всем пользователям важность надежных паролей. Следуйте рекомендуемой длине пароля более 8 символов с сочетанием букв верхнего и нижнего регистра, цифр и специальных символов. Не используйте словарные слова. Чем длиннее пароль, тем надежнее безопасность сайта.

    Если вам нужно хранить пароли для аутентификации пользователей, всегда храните их в зашифрованном виде. Используйте алгоритм хеширования , а также посолите хэш, чтобы сделать его более безопасным.

    Инструменты безопасности веб-сайта

    Они абсолютно необходимы, так как вручную невозможно отслеживать и управлять безопасностью веб-сайта. Существует множество бесплатных и платных инструментов. Кроме того, существует возможность использования инструментов, которыми вы можете управлять, а также инструментов, предлагаемых в качестве модели «Безопасность как услуга» (SaaS).

    Как защитить свой веб-сервер от хакеров?

    Comodo cWatch Web — это управляемая служба безопасности (MSS) , работающая по модели «безопасность как услуга» (SaaS). Это полностью управляемое комплексное решение для веб-безопасности, которое включает в себя управляемый брандмауэр веб-приложений, защиту от DDoS-атак, защиту от ботов, обнаружение угроз SIEM, кэширование реальной сети доставки контента, ежедневное сканирование вредоносных программ и уязвимостей и ускорение работы веб-сайта. Кроме того, он предлагает бесплатное мгновенное удаление вредоносных программ, устранение взлома веб-сайтов, полное удаление из черного списка и удаление уязвимостей через свой круглосуточный операционный центр кибербезопасности.

    Comodo cWatch Web содержит уникальные сложные функции веб-безопасности, которых нет в других инструментах безопасности веб-сайтов.

    Полезные ресурсы :

    Что такое веб-безопасность

    Взломщики паролей

    Статус веб-сайта

    Проверка веб-сайта

    Веб-сайт Резервное копирование

    Получить бесплатное программное обеспечение для обеспечения безопасности веб-сайта

    Получить бесплатное сканирование веб-сайта на наличие вредоносных программ

    Дешевый CDN

    Лучший CDN

    CDN с оплатой по мере использования

    CDN

    Бесплатный CDN

    Безопасность WordPress

    12 советов по защите сайта вашей компании от хакеров

    Оживление веб-сайта похоже на отпирание двери в помещение с открытым офисом и сейфом: большинство людей, посещающих ваше физическое здание, даже не узнают, что все ваши данные находятся там, и их можно обнаружить, просто войдя внутрь. найдет кого-то со злым умыслом, который войдет и украдет ваши данные. Вот почему у вас есть замки на дверях и сейфах.

    Ваш веб-сайт точно такой же, за исключением того, что вы никогда не увидите, как кто-то заходит, если у вас нет систем защиты. Электронные воры невидимы и быстры. Они ищут на вашем веб-сайте детали счетов клиентов, особенно информацию об их кредитных картах. У вас есть юридическое обязательство защищать эти данные от кражи и сообщать о возникающих нарушениях безопасности.

    Связанный: Руководство из семи шагов по защите конфиденциальности клиентов

    Кража — не единственное, о чем думает хакер: полное разрушение — главный мотиватор. Хакеры могут захотеть уничтожить все ваши записи, разместить больное сообщение на экранах ваших клиентов или просто разрушить вашу репутацию.

    Вы никогда не сможете исправить ущерб, нанесенный хакером, вы можете предпринять шаги, чтобы предотвратить его. Даже самая базовая защита отпугнет многих хакеров настолько, что они заставят их искать более легкую добычу в другом месте. Воры чаще крадут у людей, которые оставляют свои двери незапертыми.

    1. Будьте в курсе.

    Вам нужно быть в курсе угроз взлома. Если у вас есть хотя бы базовые знания о том, что возможно, вы можете защитить свой сайт от него. Следите за обновлениями на технических сайтах, таких как The Hacker News. Используйте полученную информацию, чтобы при необходимости принять новые меры предосторожности.

    2. Ужесточить контроль доступа.

    Уровень администратора вашего веб-сайта — это легкий путь ко всему, что вы не хотите, чтобы хакер увидел. Используйте имена пользователей и пароли, которые нельзя угадать. Измените префикс базы данных по умолчанию с «wp6_» на что-то случайное и трудно угадываемое. Ограничьте количество попыток входа в систему в течение определенного времени, даже при сбросе пароля, поскольку учетные записи электронной почты также могут быть взломаны. Никогда не отправляйте данные для входа по электронной почте, если неавторизованный пользователь получил доступ к учетной записи.

    3. Все обновить.

    Обновления стоят денег компаниям-разработчикам программного обеспечения. Они делают это только при необходимости, но многие люди, использующие программное обеспечение, не сразу устанавливают обновления. Если причиной обновления является уязвимость в системе безопасности, задержка обновления подвергает вас атаке в промежуточный период. Хакеры могут сканировать тысячи веб-сайтов в час в поисках уязвимостей, которые позволят им взломать систему. Они работают как сумасшедшие, поэтому, если один хакер знает, как проникнуть в программу, об этом узнают и сотни хакеров.

    Связано: 5 простых советов, как избежать взлома

    4. Усильте безопасность сети.

    Пользователи компьютеров в вашем офисе могут непреднамеренно предоставить легкий доступ к серверам вашего веб-сайта. Убедитесь, что:

    • Время входа истекает после короткого периода бездействия.
    • Пароли часто меняются.
    • Пароли надежны и НИКОГДА не записываются.
    • Все устройства, подключенные к сети, сканируются на наличие вредоносных программ при каждом подключении.

    С тех пор, как я основал свою хостинговую компанию, нам приходилось ежеминутно следить за безопасностью нашей сети, чтобы ее не взломали.

    5. Установите брандмауэр веб-приложений.

    Брандмауэр веб-приложений (WAF) может быть программным или аппаратным. Он устанавливается между сервером вашего веб-сайта и соединением для передачи данных и считывает каждый бит данных, проходящих через него.

    Большинство современных WAF основаны на облаке и предоставляются как услуга plug-and-play за скромную ежемесячную абонентскую плату. По сути, облачный сервис развертывается перед вашим сервером, где он служит шлюзом для всего входящего трафика. После установки брандмауэр веб-приложений обеспечивает полное спокойствие, блокируя все попытки взлома, а также отфильтровывая другие типы нежелательного трафика, такие как спамеры и вредоносные боты. Это отличный способ избежать взлома, как Craigslist.

    Связанный: Google представляет Project Zero, элитный отряд кибербезопасности для борьбы с хакерами

    6. Установите приложения безопасности.

    Хотя это и не так эффективно, как полноценный WAF, существуют бесплатные и платные приложения для обеспечения безопасности, которые вы можете установить, чтобы немного усложнить жизнь хакерам. На самом деле, даже некоторые бесплатные плагины, такие как Acunetix WP Security, могут обеспечить дополнительный уровень защиты, скрывая личность CMS вашего сайта. Таким образом, этот инструмент делает вас более устойчивым к автоматизированным хакерским инструментам, которые исследуют Интернет в поисках сайтов WordPress с определенной сборкой и версией, которые имеют одну или несколько известных уязвимостей.

    7. Скрыть страницы администратора.

    Вы не хотите, чтобы ваши страницы администратора индексировались поисковыми системами, поэтому вам следует использовать файл robots_txt, чтобы запретить поисковым системам их перечисление. Если они не проиндексированы, хакерам сложнее их найти. Этот учебник от SEObook.com — это вся помощь, которая вам понадобится.

    8. Ограничить загрузку файлов.

    Загрузка файлов является серьезной проблемой. Независимо от того, насколько тщательно система проверяет их, ошибки все равно могут проникнуть и предоставить хакеру неограниченный доступ к данным вашего сайта. Лучшее решение — запретить прямой доступ к любым загруженным файлам. Храните их вне корневого каталога и используйте сценарий для доступа к ним при необходимости. Ваш веб-хостинг, вероятно, поможет вам настроить это.

    9. Используйте SSL.

    Используйте зашифрованный протокол SSL для передачи личной информации пользователей между веб-сайтом и вашей базой данных. Это предотвратит чтение информации при передаче и доступ без надлежащих полномочий.

    10. Убрать автозаполнение формы.

    Когда вы оставляете включенным автоматическое заполнение форм на своем веб-сайте, вы оставляете его уязвимым для атак с любого компьютера или телефона пользователя, которые были украдены. Вы никогда не должны подвергать свой веб-сайт атакам, использующим лень законного пользователя.

    11. Часто выполняйте резервное копирование.

    На случай, если случится худшее, сохраните все резервные копии. Резервное копирование на месте, резервное копирование за пределами сайта, резервное копирование всего несколько раз в день. Каждый раз, когда пользователь сохраняет файл, он должен автоматически создавать резервные копии в нескольких местах. Резервное копирование один раз в день означает, что вы потеряете данные за этот день, когда ваш жесткий диск выйдет из строя. Помните, что каждый жесткий диск выйдет из строя .

    12. Вы не можете скрыть свой код.

    Вы можете купить программное обеспечение, в котором говорится, что оно будет скрывать код на ваших веб-страницах. Это не работает. Браузерам необходим доступ к вашему коду для отображения страниц вашего веб-сайта, поэтому есть простые способы обойти «шифрование» веб-страницы.

    Отключение «щелчка правой кнопкой мыши» как способа просмотра кода веб-сайта раздражает пользователей, потому что при этом также отключаются все остальные функции «щелчка правой кнопкой мыши», и существуют простые обходные пути, которые в любом случае знает каждый хакер.