Хакерские атаки с каждым днем становятся все более изощренными и продвинутыми. С одной стороны, они носят финансовое значение и направлены на получение персональной платежной информации, а с другой — чисто развлекательный, т.н. белый. Такие хакеры ломают проекты и доказывают себе, что «я могу» или же находят брешь и продают ее владельцам ресурсов.
Существует еще одна разновидность хакерских атак — спам. Она не несет в себе угрозу безопасности, но может наполнить сайт мусором, который, в свою очередь, увидит Google и зачислит в ряды мусора ваш сайт!
Никогда не знаешь, с какой стороны придет беда, но к ней нужно готовиться заранее и отслеживать актуальность. Ниже несколько базовых рекомендаций, которые позволят защититься от примитивных атак.
Обратитесь к специалистам
Пожалуй, стоит начать именно с этого. Не можешь сам, заплати профессионалам. В качестве примера приведу компанию STRUST, которая занимается защитой сайтов на самых разных уровнях. Они готовы обеспечить защиту OpenCart, WordPress, Bitrix, Magento и другие менее популярных платформ, а также защиту от вирусов и воровства контента.
Скрыть разделы с доступом
На примере WordPress можно плагинами изменить адрес панели администратора и дополнительно установить на нее Google reCaptcha. Хакерам не просто потребуется найти эту самую страницу, но и обойти наиболее защищенную проверку, разработанную Google.
По возможности, установите двухфакторную аутентификацию для аккаунта администратора, например, через Google Autenticator.
Это будет настоящий удар для хакера. Даже если он найдет страницу авторизации и сможет как-то подобрать пароль (что будет крайне сложно из-за установки ограничения попыток входа), то столкнется с еще одной преградой — нужен код, автоматически обновляемый каждые 30 секунд и хранящийся на телефоне владельца аккаунта!
Защита от перехвата и закрытие доступа
В последние годы, и браузеры, и поисковые системы ужесточили требования к безопасности сайтов, а именно — требуют наличие SSL. Это не обязательно, но тогда сайт получит метку, как небезопасный и скатится вниз в поисковой выдаче.
Блокировка IP-адресов и дополнительные ограничения через .htaccess также принесут свои плоды.
Максимально изолируйте сайт
Если есть возможность работы внутри локальной сети, следует изолировать в ней все возможные файлы ресурса. При такой схеме, злоумышленнику вначале придется обойти защиту сервера, а потом уже сайт.
В таком режиме может работать корпоративный портал, служба обращений (а-ля тех. поддержка) или внутренняя система логистики и задач (CRM).
Модерация и ведение логов
Это текстовые записи всех совершенных действия для заданных условий. Так можно отслеживать попытки входа в аккаунт, странное поведение пользователей и многое другое.
Анализируя эти данные можно вовремя отсекать подозрительные IP адреса.
Защита сервера, антивирус, правила безопасности
Часто ничего взламывать и не нужно, и пользователь сам дает доступ к своим ресурсам игнорируя элементарные правила сетевой безопасности. Отсутствие антивирусной защиты, использование слабых паролей в сочетании с нулевыми знаниями обустройства интернета позволяют злоумышленнику не всегда даже целенаправленно получить доступ к компьютеру, а после вытащить с него более-менее интересные данные.
Рекомендации
- Не стоит игнорировать важность антивируса и выключать автоматическую проверку. Даже если это и сделано, полная проверка хотя бы один раз в месяц может вовремя найти уязвимость обезопасить вас в будущем;
- Не храните пароли в браузере для сайтов повышенной важности: аккаунт на сайте банка, электронные платежные системы, государственные ресурсы;
- Всегда устанавливайте на подобных ресурсах двухфакторную аутентификацию (да, это неудобно, но это элементарная финансовая безопасность для сбережения ваших средств);
- Установите антивирус — встроенного Windows Defender вполне будет достаточно;
- Устанавливайте все обновления — они часто фиксят уязвимости;
Комментарии