Мой сайт – моя крепость. Подготовьтесь к кибервойне.

Не надо читать эту статью, если у вас нет сайта. Тут пойдёт речь о всякой занудной технической ерунде и страшных хакерах. Перед сном не читать!

С начала СВО защищенность сайтов на территории России из дела, которое я «сделаю в следующем месяце», превратилось в приоритетное и неотложное. Если раньше сайты взламывались из меркантильных соображений хакеров: для рассылки спама, использования вашего трафика, распространения вирусов, и чтобы проучить невежественных ламеров. То сейчас совершаются массовые атаки в рамках гибридной войны. И атакуют не только государственные компании, а всех подряд. За одну такую атаку взламывают тысячи сайтов для нанесения экономического ущерба бизнесам и госучреждениям.

Подготовьтесь к кибервойне, отключив дома интернет. Ну или внедрите базовые методы защиты.

ПРИМЕРЫ АТАК

28 июня 2022 была совершена одна из первых массовых атак. Взломали сайт Росреестра и тысячи сайтов частных компаний. На взломанных сайтах хакеры оставляли, как им казалось, очень остроумное поздравление с днем Конституции Украины, и после сайты превращались в кирпич. Как вы думаете откуда велись атаки? Правильно: с IP адресов стран Европы, Северной Америки и Западной Украины. https://tass.ru/ekonomika/15052239

С тех пор такие атаки на Рунет не прекращаются.

В марте 2023 наша компания столкнулась с аналогичным взломом сайтов нашего клиента – крупной ивановской текстильной компании. Нам это стоило бессонных ночей и работы в выходные. К счастью, мы смогли восстановить работу и избежать потери данных. Но простой в работе составил 3 дня. На специализированных форумах мы нашли сообщения, что по такой же схеме были взломаны тысячи сайтов. И не все отделались лёгким испугом.

СУТЬ ПРОБЛЕМЫ

Хакеры – это те же уголовники, только хуже. Взламывать сайты вручную им лень, и они пишут автоматические программы для массового хакинга. Специалисты по информационной безопасности (хакеры наоборот) каждый месяц находят новые уязвимости в популярных движках сайтов: 1C-Битрикс, Wordpress, Joomla, Opencart и др. Описания уязвимостей они услужливо публикуют в открытом доступе, чтобы поставщики движков могли выпустить свои «заплатки», а владельцы сайтов смогли с помощью них закрыть «дыры».

Но по факту большинство сайтов в Рунете обновляются крайне редко, или их вообще не обновляли с момента разработки. Хакеры же используют готовые дыры в безопасности для разработки автоматических способов взлома сайтов (эксплоитов). А уязвимых сайтов для проведения массовых атак, как вы понимаете, хватает.

ЗАЩИТА

Сайт, разработанный без учета поведения злонамеренных пользователей, рано или поздно будет взломан. Следует исходить из этого правила, чтобы заранее «подстелить соломку». Понимая основные способы хакинга, мы сможем выстроить оборону против большинства угроз. Вот что стоит предпринять:

Обновляйте движок сайта и дополнительные расширения к нему регулярно, а не только на 8 марта. Так вы закроете известные уязвимости. Такие дыры – это лазейки для хакеров любого масштаба. И даже школьник, насмотревшись фильмов про хакеров, сможет взломать необновлённый сайт. Будет достаточно использовать готовые эксплоиты.

Замаскируйтесь. Спрячьте следы того, какой движок сайта вы используете и какой версии. Боты, которые автоматически взламывают сайты, первым делом определяют, какой движок вы используете, чтобы применить подходящий способ взлома, основанный на уязвимости. Без знания движка туповатый бот пойдёт искать жертву попроще. Ещё лучше, если вы не просто скроете ваш движок, а выдадите его за другой. Несколько лет назад мы применили такую маскировку на сайтах наших клиентов, скрыв следы используемого движка и выставив напоказ признаки, типичные для Wordpress. В итоге боты пытались взламывать сайты с помощью методов хакинга для Вордпресса и оставались не у дел. В чек-листе ниже я дам рекомендации, как именно можно замаскироваться.

Ограничьте доступ к серверу. Кардинальный способ обезопаситься – это запретить на уровне файрволла доступ к сайту с IP адресов стран Европы, США, Западной Украины. Метод подходит, если ваша аудитория исключительно из России.

Проверяйте на вирусы. Не знаю, спасло ли это хоть кого-то от взлома, но спится спокойнее. Для серверов существуют свои антивирусы, например, бесплатный ImunifyAV. Они могут проверять файлы сайта на регулярной основе и сообщать при обнаружении известных вирусов, «червей» и троянов. Также некоторые из антивирусов способны лечить отдельные виды заражений.

Следите за изменениями. Хакерская атака не всегда приводит сразу к недоступности сайта или потере данных. Сайт может быть взломан без видимых на первый взгляд последствий. Одновременно с этим с вашего хостинга хакеры могут скрытно рассылать спам, переадресовывать пользователей на мошеннические ресурсы, внедрять на страницы рекламу поддельной Виагры, часов Rolex из Китая и бесплатных антивирусов. В результате сайт попадает в спам базы почтовиков, в чёрные списки поисковых систем – с соответствующими последствиями.

Кроме серверных антивирусов следить за изменениями помогает простой самописный скрипт, который заносит в список любой изменённый или новый файл. Таким образом, при обслуживании сайта одного взгляда будет достаточно, чтобы засечь подозрительную активность.

Настройте защиту от DDOS. DDOS – это когда тысячи других порабощенных компьютеров вдруг, по команде хакера, решают все разом зайти к вам на сайт и посмотреть, что у вас новенького. Атака вызывает чрезмерную нагрузку на сервер и приводит к отказу или замедлению работы сайта на весь период DDOS. Пример сервиса для защиты: https://cloudflare.com

СМЯГЧЕНИЕ ВОЗМОЖНЫХ ПОСЛЕДСТВИЙ

Настройте резервное копирование. В случае заражения или потери данных архив поможет оперативно восстановить работу сайта. Не кладите все архивы в одну корзину – храните их на удалённом сервере. Так как сайт может быть заражен незаметно, то нужно иметь не только свежие копии, но и более ранние.

Организуйте мониторинг доступности основных страниц сайта. Например, такой сервис https://ping-admin.com позволит среди ночи узнать о недоступности вашего сайта и сработает лучше любого будильника.

Ведите журналирование. Попросите системного администратора включить ведение логов, чтобы все действия на сервере фиксировались. Это поможет расследовать инцидент, если он всё же произойдёт. К тому же серверные журналы пригодятся при написании мемуаров.

ЧЕК-ЛИСТ ДЛЯ СИСАДМИНА

Обновлять CMS сайта и расширений раз месяц, за исключением новогодних праздников.

Замаскировать движок сайта. Спрячьте вход в админку сайта по стандартному пути и добавьте ложный вход. В коде сайта уберите название и версию движка, заменив на подставные данные. В файл robots.txt добавьте дезинформацию: сверху файла укажите инструкции, свойственные для «левого» движка. В качестве подложенной свиньи мы используем Wordpress. Если же вы и так используете Wordpress, то вам уже ничего не поможет.

Ограничить в файрволле доступ к серверу по маске IP для США, Европы, Западной Украины. Назовём это ответные санкции.

Настроить антивирус. Например, ImunifyAV, Dr. Web, Virusdie.ru или другие.

Отслеживать изменения в файлах сайта с помощью скрипта.

Обеспечить защиту от DDOS на cloudflare.com.

Делать резервное копирование по расписанию; хранить удалённо архивы, например: за каждый день последней недели, 2-х недельной давности, месячной, 3-х и 6-ти месячной давности.

Отслеживать доступность сайта онлайн: https://ping-admin.com

Вести журналирование на сервере. Проверять логи в ходе обслуживания.

Говорят, если «предупреждён – значит вооружен». Вооружитесь базовыми методами защиты и, не откладывая, проведите аудит безопасности вашего сайта.

В предыдущей статье мы рассматривали конверсию как рычаг в методе продвижения сайта через поведенческие факторы. В следующей статье мы поговорим про устойчивость бизнеса в интернете.

С вами был Александр Красильников, веб-студия «Biznetman» https://biznetman.ru

Источник: biznetman.ru

Комментарии: