В статье даны рекомендации владельцу веб-сайта о том, как обеспечить работоспособность своего ресурса и безопасность содержащихся на нём конфиденциальных данных.
Светлана создаёт авторские игрушки. Сначала она разместила фотографии своих изделий в социальных сетях, вскоре стали поступать заказы, количество подписчиков выросло в сотни раз, появились постоянные клиенты. Со временем хобби стало приносить прибыль и переросло в основную работу. Демонстрировать товар в ленте соцсети стало неудобно, поэтому для лучшей наглядности и простоты оформления заказов Светлана решила создать свой интернет-магазинчик на платформе управления контентом и дизайном сайта (CMS) WordPress. За основу она взяла шаблонный макет сайта, разместила там каталог своих изделий, добавила функционал онлайн-оплаты товара. За несколько лет сайт стал основным средством продаж, накопилась хорошая клиентская база, пока однажды ресурс не оказался заблокирован хостинг-провайдером. Выяснилось, что, создав сайт, Светлана ни разу не обновляла CMS-систему. В ней накопилось множество ошибок и неисправленных уязвимостей, через которые злоумышленники проникли в систему, внедрили вредоносный код, и сайт Светланы стал распространять вирусы. К тому же злоумышленники «покопались» в базе данных и часть информации оказалась повреждена. К несчастью, Светлана не делала резервных копий, поэтому потеряла клиентскую базу и информацию о заказах, что серьёзно подкосило её бизнес.
Кому нужен мой сайт?
На сегодняшний день любая компания малого или среднего бизнеса, как и большинство индивидуальных предпринимателей, создают свой сайт в сети Интернет. При этом часто владельцы таких сайтов попросту не задумываются об их защите и не предпринимают достаточных мер безопасности, чтобы минимизировать риски взлома. Конечно, для злоумышленников больший интерес представляют крупные интернет-ресурсы: сайты госорганов, СМИ, популярные интернет-магазины и веб-сервисы, например, СДЭК или Яндекс.Еда. Но атаки на них требуют от хакеров усилий и высокого уровня подготовки, тогда как менее защищенные сайты маленьких компаний являются лёгкой добычей и могут служить плацдармом для дальнейших кибератак на более крупные цели. Для проведения нецелевых атак используются специальные боты, которые сканируют веб-ресурсы наугад и ищут уязвимости на самом сайте, в сетевом оборудовании или на хостинге. Поэтому даже сайт маленького магазина сувениров или автомастерской представляет интерес для злоумышленников, ведь на нём содержится достаточное количество «чувствительной» информации: банковские реквизиты владельца, списки и контактные данные клиентов. Как правило, ущерб от компьютерной атаки для крупной компании не так существенен, как для маленького бизнеса, для которого взлом сайта и потеря данных может оказаться фатальными.
К каким рискам приведет взлом сайта?
Зачастую веб-сайт – это основной канал коммуникации бизнеса с клиентами. Сбой в работе сайта, компрометация данных, невозможность пользователей сделать заказ – всё это может нанести серьезный финансовый и репутационный ущерб и существенно навредить вашему бизнесу. Рассмотрим, какие риски связаны со взломом сайта:
- Компрометация и утечка базы данных клиентов может привести к безвозвратной потере их доверия и подорвать вашу репутацию. Кроме того, практически любая организация так или иначе является оператором персональных данных – даже если это простой список имён и телефонов клиентов. В случае их утечки предпринимателю грозит штраф за несоблюдение условий хранения таких данных согласно ч. 6 ст. 13.11 КоАП РФ: от 20 до 40 тыс. руб. для индивидуальных предпринимателей, от 50 до 100 тыс. руб. для юрлиц.
- Фишинговые атаки и перенаправление трафика. Учитывая, что веб-сайт компании обычно интегрирован с другими информационными системами – например, с почтовым сервисом и системой управления взаимоотношениями с клиентом (CRM-системой), проникший в эту инфраструктуру злоумышленник сможет рассылать от имени компании фишинговые письма и спам или перенаправлять посетителей на сайт компании-конкурента.
- Кража домена, публикация на взломанном сайте контента неправомерного содержания, внедрение вредоносного кода или вируса-шифровальщика с последующим шантажом владельца и требованием выкупа может привести к потере всех данных. В случае если Яндекс или Google заподозрят компрометацию ресурса, может произойти исключение сайта из поисковой выдачи. Это повлечёт снижение трафика и потерю потенциальных клиентов.
Отметим, что ряд рисков связаны со скрытым использованием взломанного сайта. Владелец может даже не подозревать, что его ресурс используется для майнинга криптовалют или стал звеном бот-сети и участвует в проведении компьютерных атак на критическую информационную инфраструктуру. В последнем случае владелец окажется ещё и соучастником противоправной деятельности и может быть привлечён к ответственности. Чтобы избежать перечисленных рисков, владельцам сайтов следует самостоятельно следить за их безопасностью, вовремя обновлять CMS-систему и другое используемое программное обеспечение, устаревшие версии которых могут содержать уязвимости – потенциальные лазейки для злоумышленников. Например, в 2020 году из-за уязвимости в популярных плагинах были взломаны тысячи российских сайтов, работающих на платформе WordPress. Совсем свежий пример – масштабная атака на клиентов платформы «1С-Битрикс»: пострадали владельцы ресурсов, которые не произвели своевременного обновления своих сайтов. Уязвимость позволяла злоумышленникам получать несанкционированный доступ к данным веб-ресурсов и удаленно управлять системой.
9 шагов: как уберечь сайт от взлома
В какой-то момент владелец сайта может столкнуться с отсутствием доступа к административной панели, заметить изменения в интерфейсе сайта, посторонние ссылки и баннеры, другие аномальные вещи – всё это очевидные признаки взлома. Свидетельствами скрытого проникновения злоумышленников в CMS-систему могут стать более медленная, чем обычно, загрузка страниц сайта, снижение посещаемости сайта и т. д. Минимизировать риски помогут следующие рекомендации:
- Грамотная парольная политика. Откажитесь от логинов типа «admin», «(фамилия администратора)», «(публичный e-mail)», паролей типа «12345», «password». Применяйте к разным системам разные пароли, регулярно меняйте их. Не размещайте пароли в открытом доступе – например, на стикере, наклеенном на монитор. Надежный пароль – это не менее 14 знаков, среди которых есть строчные и заглавные буквы, цифры, специальные символы.
- Соблюдение элементарных правил цифровой гигиены. Никому не сообщайте логин и пароль от учетной записи. Регулярно обновляйте установленное программное обеспечение, в том числе CMS. Не вводите учетные данные, подключаясь к сайту через публичные сети Wi-Fi. Используйте антивирус на всех устройствах, откуда осуществляется администрирование сайта.
- Выбор надёжного хостинг-провайдера. Провайдер должен гарантировать пользователю бесперебойную доступность размещаемого ресурса и быстрое устранение возникающих проблем. Такие гарантии могут быть обеспечены при наличии круглосуточной сервисной поддержки со стороны хостинга, полной технической оснащенности ресурса, возможности использования резервных каналов передачи данных и резервного копирования данных. Оценить надёжность провайдера можно также по косвенным признакам: по времени присутствия бренда на рынке и по отзывам пользователей.
- Использование дополнительных инструментов безопасности, предоставляемых хостинг-провайдером: это, например, межсетевое экранирование, в том числе на уровне приложений, защита от DDoS-атак, антивирусная защита, защита от подбора пароля, автоматизированный механизм резервного копирования, мониторинг вредоносных веб-ресурсов.
- Приобретение SSL-сертификата – цифрового сертификата, позволяющего использовать зашифрованную передачу данных между сервером и пользовательским браузером и подтверждающего подлинность веб-сайта. Признаком защиты веб-сайта SSL-сертификатом является обозначение в веб-адресе сайта протокола HTTPS (HyperText Transfer Protocol Secure) вместо стандартного HTTP. Использование SSL позволяет повысить ранжирование сайта в поисковых системах и доверие пользователей.
- Регулярное резервное копирование сайта. Производите резервное копирование всех критически важных данных (в том числе контента) и периодический мониторинг резервных копий. Убедитесь, что они работоспособны, и с их помощью можно восстановить данные. Для хранения резервных копий можно воспользоваться опцией своего хостинг-провайдера или выбрать другой вариант хранения – на собственных мощностях или в облачных сервисах.
- Грамотный выбор и оперативное обновление CMS-платформы. Система должна обеспечивать возможность двухфакторной авторизации, предлагать встроенные инструменты безопасности, разграничение прав доступа, логирование (журналирование действий). Выпуск регулярных обновлений системы снизит риск того, что злоумышленники смогут воспользоваться обнаруженными уязвимостями.
- Ограничение использования плагинов, модулей и расширений. Некоторые CMS-системы имеют доверенные плагины безопасности (например, iThemes Security для WordPress). Однако большинство плагинов, особенно сторонней разработки, своевременно не обновляются и несут потенциальные риски.
- Категорически не рекомендуется устанавливать контрафактные CMS, а также публиковать информацию о типе и версии системы на сайте. В «пиратских» CMS (например, в системах с бесконечным бесплатным демо-доступом) часто содержится встроенный вредоносный код. Информация о типе и версии CMS, размещенная в публичном доступе, используется злоумышленниками для поиска уязвимостей на сайте.
Применение указанных мер на практике не потребует от вас существенных затрат и специального уровня подготовки, но при этом позволит защитить ваш бизнес от убытков и серьёзных рисков.