В статье даны рекомендации владельцу веб-сайта о том, как обеспечить работоспособность своего ресурса и безопасность содержащихся на нём конфиденциальных данных.

Светлана создаёт авторские игрушки. Сначала она разместила фотографии своих изделий в социальных сетях, вскоре стали поступать заказы, количество подписчиков выросло в сотни раз, появились постоянные клиенты. Со временем хобби стало приносить прибыль и переросло в основную работу. Демонстрировать товар в ленте соцсети стало неудобно, поэтому для лучшей наглядности и простоты оформления заказов Светлана решила создать свой интернет-магазинчик на платформе управления контентом и дизайном сайта (CMS) WordPress. За основу она взяла шаблонный макет сайта, разместила там каталог своих изделий, добавила функционал онлайн-оплаты товара. За несколько лет сайт стал основным средством продаж, накопилась хорошая клиентская база, пока однажды ресурс не оказался заблокирован хостинг-провайдером. Выяснилось, что, создав сайт, Светлана ни разу не обновляла CMS-систему. В ней накопилось множество ошибок и неисправленных уязвимостей, через которые злоумышленники проникли в систему, внедрили вредоносный код, и сайт Светланы стал распространять вирусы. К тому же злоумышленники «покопались» в базе данных и часть информации оказалась повреждена. К несчастью, Светлана не делала резервных копий, поэтому потеряла клиентскую базу и информацию о заказах, что серьёзно подкосило её бизнес.

Кому нужен мой сайт?

На сегодняшний день любая компания малого или среднего бизнеса, как и большинство индивидуальных предпринимателей, создают свой сайт в сети Интернет. При этом часто владельцы таких сайтов попросту не задумываются об их защите и не предпринимают достаточных мер безопасности, чтобы минимизировать риски взлома. Конечно, для злоумышленников больший интерес представляют крупные интернет-ресурсы: сайты госорганов, СМИ, популярные интернет-магазины и веб-сервисы, например, СДЭК или Яндекс.Еда. Но атаки на них требуют от хакеров усилий и высокого уровня подготовки, тогда как менее защищенные сайты маленьких компаний являются лёгкой добычей и могут служить плацдармом для дальнейших кибератак на более крупные цели. Для проведения нецелевых атак используются специальные боты, которые сканируют веб-ресурсы наугад и ищут уязвимости на самом сайте, в сетевом оборудовании или на хостинге. Поэтому даже сайт маленького магазина сувениров или автомастерской представляет интерес для злоумышленников, ведь на нём содержится достаточное количество «чувствительной» информации: банковские реквизиты владельца, списки и контактные данные клиентов. Как правило, ущерб от компьютерной атаки для крупной компании не так существенен, как для маленького бизнеса, для которого взлом сайта и потеря данных может оказаться фатальными.

К каким рискам приведет взлом сайта?

Зачастую веб-сайт – это основной канал коммуникации бизнеса с клиентами. Сбой в работе сайта, компрометация данных, невозможность пользователей сделать заказ – всё это может нанести серьезный финансовый и репутационный ущерб и существенно навредить вашему бизнесу. Рассмотрим, какие риски связаны со взломом сайта:

• Компрометация и утечка базы данных клиентов может привести к безвозвратной потере их доверия и подорвать вашу репутацию. Кроме того, практически любая организация так или иначе является оператором персональных данных – даже если это простой список имён и телефонов клиентов. В случае их утечки предпринимателю грозит штраф за несоблюдение условий хранения таких данных согласно ч. 6 ст. 13.11 КоАП РФ: от 20 до 40 тыс. руб. для индивидуальных предпринимателей, от 50 до 100 тыс. руб. для юрлиц.
• Фишинговые атаки и перенаправление трафика. Учитывая, что веб-сайт компании обычно интегрирован с другими информационными системами – например, с почтовым сервисом и системой управления взаимоотношениями с клиентом (CRM-системой), проникший в эту инфраструктуру злоумышленник сможет рассылать от имени компании фишинговые письма и спам или перенаправлять посетителей на сайт компании-конкурента.
• Кража домена, публикация на взломанном сайте контента неправомерного содержания, внедрение вредоносного кода или вируса-шифровальщика с последующим шантажом владельца и требованием выкупа может привести к потере всех данных. В случае если Яндекс или Google заподозрят компрометацию ресурса, может произойти исключение сайта из поисковой выдачи. Это повлечёт снижение трафика и потерю потенциальных клиентов.

Отметим, что ряд рисков связаны со скрытым использованием взломанного сайта. Владелец может даже не подозревать, что его ресурс используется для майнинга криптовалют или стал звеном бот-сети и участвует в проведении компьютерных атак на критическую информационную инфраструктуру. В последнем случае владелец окажется ещё и соучастником противоправной деятельности и может быть привлечён к ответственности. Чтобы избежать перечисленных рисков, владельцам сайтов следует самостоятельно следить за их безопасностью, вовремя обновлять CMS-систему и другое используемое программное обеспечение, устаревшие версии которых могут содержать уязвимости – потенциальные лазейки для злоумышленников. Например, в 2020 году из-за уязвимости в популярных плагинах были взломаны тысячи российских сайтов, работающих на платформе WordPress. Совсем свежий пример – масштабная атака на клиентов платформы «1С-Битрикс»: пострадали владельцы ресурсов, которые не произвели своевременного обновления своих сайтов. Уязвимость позволяла злоумышленникам получать несанкционированный доступ к данным веб-ресурсов и удаленно управлять системой.

9 шагов: как уберечь сайт от взлома

В какой-то момент владелец сайта может столкнуться с отсутствием доступа к административной панели, заметить изменения в интерфейсе сайта, посторонние ссылки и баннеры, другие аномальные вещи – всё это очевидные признаки взлома. Свидетельствами скрытого проникновения злоумышленников в CMS-систему могут стать более медленная, чем обычно, загрузка страниц сайта, снижение посещаемости сайта и т. д. Минимизировать риски помогут следующие рекомендации:

1. Грамотная парольная политика. Откажитесь от логинов типа «admin», «(фамилия администратора)», «(публичный e-mail)», паролей типа «12345», «password». Применяйте к разным системам разные пароли, регулярно меняйте их. Не размещайте пароли в открытом доступе – например, на стикере, наклеенном на монитор. Надежный пароль – это не менее 14 знаков, среди которых есть строчные и заглавные буквы, цифры, специальные символы.
2. Соблюдение элементарных правил цифровой гигиены. Никому не сообщайте логин и пароль от учетной записи. Регулярно обновляйте установленное программное обеспечение, в том числе CMS. Не вводите учетные данные, подключаясь к сайту через публичные сети Wi-Fi. Используйте антивирус на всех устройствах, откуда осуществляется администрирование сайта.
3. Выбор надёжного хостинг-провайдера. Провайдер должен гарантировать пользователю бесперебойную доступность размещаемого ресурса и быстрое устранение возникающих проблем. Такие гарантии могут быть обеспечены при наличии круглосуточной сервисной поддержки со стороны хостинга, полной технической оснащенности ресурса, возможности использования резервных каналов передачи данных и резервного копирования данных. Оценить надёжность провайдера можно также по косвенным признакам: по времени присутствия бренда на рынке и по отзывам пользователей.
4. Использование дополнительных инструментов безопасности, предоставляемых хостинг-провайдером: это, например, межсетевое экранирование, в том числе на уровне приложений, защита от DDoS-атак, антивирусная защита, защита от подбора пароля, автоматизированный механизм резервного копирования, мониторинг вредоносных веб-ресурсов.
5. Приобретение SSL-сертификата – цифрового сертификата, позволяющего использовать зашифрованную передачу данных между сервером и пользовательским браузером и подтверждающего подлинность веб-сайта. Признаком защиты веб-сайта SSL-сертификатом является обозначение в веб-адресе сайта протокола HTTPS (HyperText Transfer Protocol Secure) вместо стандартного HTTP. Использование SSL позволяет повысить ранжирование сайта в поисковых системах и доверие пользователей.
6. Регулярное резервное копирование сайта. Производите резервное копирование всех критически важных данных (в том числе контента) и периодический мониторинг резервных копий. Убедитесь, что они работоспособны, и с их помощью можно восстановить данные. Для хранения резервных копий можно воспользоваться опцией своего хостинг-провайдера или выбрать другой вариант хранения – на собственных мощностях или в облачных сервисах.
7. Грамотный выбор и оперативное обновление CMS-платформы. Система должна обеспечивать возможность двухфакторной авторизации, предлагать встроенные инструменты безопасности, разграничение прав доступа, логирование (журналирование действий). Выпуск регулярных обновлений системы снизит риск того, что злоумышленники смогут воспользоваться обнаруженными уязвимостями.
8. Ограничение использования плагинов, модулей и расширений. Некоторые CMS-системы имеют доверенные плагины безопасности (например, iThemes Security для WordPress). Однако большинство плагинов, особенно сторонней разработки, своевременно не обновляются и несут потенциальные риски.
9. Категорически не рекомендуется устанавливать контрафактные CMS, а также публиковать информацию о типе и версии системы на сайте. В «пиратских» CMS (например, в системах с бесконечным бесплатным демо-доступом) часто содержится встроенный вредоносный код. Информация о типе и версии CMS, размещенная в публичном доступе, используется злоумышленниками для поиска уязвимостей на сайте.

Применение указанных мер на практике не потребует от вас существенных затрат и специального уровня подготовки, но при этом позволит защитить ваш бизнес от убытков и серьёзных рисков.

Источник