На острие атаки… Безопасность вашего сайта: часть I
Борьба за посетителей и клиентов порой идет не на жизнь, а на смерть… сайта! Атаки хакеров мешают сайту выйти в Топ и убивают поисковый трафик. Как же обезопасить свой проект от взлома?
Многие проблемы возникают из-за невнимательности вебмастера, излишнего доверие к партнерским программам для заработка, пренебрежительного отношения к правилам безопасности. Поэтому лучше не надеяться на удачу и «авось» и заранее позаботится о защите своего проекта.
Зачем взламывают сайты?
Злоумышленники могут стремиться:
- добыть информацию, выяснить пароли юзеров, получить доступ к служебным папкам сайта;
- вывести сервер из строя;
- разместить на страничках сайта невидимые ссылки и вирусы;
- получить полный доступ к серверу и всем сайтам в аккаунте хостинга;
- понизить позиции сайта в поиске, добиться выпадения его страниц из индекса.
Какими могут быть атаки?
Если злоумышленники стремятся получить несанкционированный доступ к сайту или серверу, то атаку можно считать внутренней. Если осуществляются действия никак не связанные с работой сервера, например, предпринимаются попытки распространения спама от имени компании и размещение клеветы на просторах Интернета, то атаку можно назвать внешней.
Внутреннюю атаку можно предупредить и обезвредить, а вот внешняя атака не поддается тотальному контролю.
Ddos-атака
Ddos-атака вызывает полную остановку деятельности сервера. Абсолютной гарантии защиты от нее не существует. Во время мощной атаки сервер может лежать до того счастливого момента, когда завистники не прекратят «бомбардировку».
Данный способ очень прост в исполнении: не нужно супер-специалистом, чтобы "накрыть" ненавистный сервер. Нужен свой ботнет или деньги на заказ услуги, да свирепое желание расправиться с конкурентами.
В этом случае с большого количества компьютеров с заданной периодичностью осуществляется новые и новые обращения к данным, хранящимся на сервере. Нагрузка превышает все допустимые пределы и сервер "падает".
В роли атакующих устройств фигурируют компьютеры простых пользователей, даже не подозревающих, что их операционная система заражена троянами. Мощность Ddos-атаки измеряют объемом трафика, посланного на сервер за секунду. С несколькими гигабайтами трафика в секунду сражаться уже бессмысленно. Мощная атака не может длиться вечно, но и пауза всего лишь на сутки оборачивается значительными убытками и потерей репутации.
Как предупредить Ddos-атаку?
Универсального лекарства от Ddos-атаки нет. Неутешительным тому подтверждением можно считать тот факт, что такой атаке в свое время подверглись и Живой журнал и сайт Майкрософт. И все же немножко соломки подстелить стоит.
Размещайте свои сайты на серверах, располагающих хорошим запасом прочности. Если сервер работает на пределе своих возможностей, скромная атака или резкий рывок посещаемости вызовет его падение. Если в резерве есть запас мощностей, то вы сможете выиграть время и успеть оказать «скорую помощь» проекту. На сервере не должно быть "слабого звена" - элемента, который легко выйдет из строя при повышении нагрузки.
Если атакуется главная страница, сделайте редирект на другую страничку. Пусть это будет страничка с меньшим размером, тогда вы сможете снизить нагрузку на сервер.
Если число обращений с конкретного айпи превысило все разумные приделы, запишите айпи в черном списке.
Заблокируйте на время трафик из заграницы, поскольку очень часто атаки организуются из Азиатских стран.
Располагайте отдельным независимым каналом подключения к серверу. Если основной канал будет недоступен, вы сможете воспользоваться дополнительным. Своевременно обновляйте программное обеспечение сервера, ставьте новые патчи.
SQL-инъекции
SQL-инъекция – это атака на базу данных сайта. Киберпреступники могут исполнить sql-запрос на вашем сервере, использовав уязвимость движка. К сожалению, в параметре GET можно передавать любые sql-запросы. Сделав инъекцию, черный оптимизатор может делать с вашей базой данных все, что захочет: стереть ее с лица сервера, просмотреть пользовательские данные, узнать пароли. Многообразие возможностей ограничивается только его фантазией. Как защитить сайт от инъекций? Осуществить подстановку данных в запрос только через плейсхолдеры и разрешить подстановку идентификаторов и ключевых слов только из белого списка, заранее прописанного в вашем коде. Но это скорее подсказка, подробный ответ предполагает знание PHP и MySQL
XSS
XSS-атака - это внедрение в страничку, генерируемую скриптом, стороннего кода. Способ срабатывает тогда, когда нет алгоритма для проверки переменной, вводимой в адрес страницы, на наличие спецсимволов вроде кавычек.
Таким способом злоумышленники могут украсть cookies и подключиться к профилям зарегистрированных пользователей, и узнать сведения об их активности в Интернете. Не всегда внедряют java-скрипты. Иногда запускается ссылка на php-скрипт, который хранится на постороннем сервере. Таким путем черные сеошники также размещают на взломанном сайте бесплатные ссылки.
Фишинг
Фишинг нельзя назвать атакой, но такая подрывная шпионская деятельность способна причинить внушительный ущерб репутации сайта. На чужом домене, с похожим названием, размещают копию проекта с формой авторизации. Стоит клиентам ввести в ложную форму авторизации личные данные, как они тут же попадают в руки жуликов. Подстава может скрываться и в рассылке, имитирующей рассылку официального сайта. Ссылочка в ложном письме может вести на фишинговый сайт и бывает мастерски замаскирована под настоящую.
Как воевать с фишинговым сайтом? Заметили проект, дублирующий ваш контент и дизайн - обращайтесь к хостингу, услугами которого пользуется его владелец и к регистратору его домена. Сайт-обманку быстро заблокируют во избежание дальнейших проблем.
В следующей статье вы познакомитесь со взломом сайта ради размещения невидимых ссылок и вирусов. Вы узнаете о том, как с предупредить и обезвредить эту и другие угрозы.