Светлана Щегель
Сен 25, 2020 | Время чтения: 12 мин

В средневековье для защиты от вторжения строили замки: рыли рвы, возводили высокие башни и бойницы, устанавливали разводные мосты и железные двери. Современная защита сайта — это все те же несколько уровней системы безопасности, только защищаться нам приходится не от вражеского войска под стенами замка, а от невидимых злоумышленников по ту сторону экрана. И если вражеское войско под окнами сложно не заметить, то хакер может часами пытаться взломать ваш сайт, а у вас не возникнет никаких подозрений на этот счет.

Невидимость врага создает иллюзорное ощущение безопасности, особенно если ваш сайт — не замок, а скорее скромный домик. Но обольщаться не стоит. Каждые 39 секунд хакеры пытаются взломать чей-то сайт, ориентируясь часто не на размер бизнеса, а на его уязвимость. Если вы ничего не делаете для защиты своего сайта, будьте готовы в случае кибератаки потерять клиентов, время и деньги. Ваша репутация, конечно же, тоже пострадает.

Избежать такого плачевного сценария можно, выделив ресурсы необходимые, чтобы обезопасить себя. В этой статье мы разберемся, что такое кибербезопасность, почему ею не стоит пренебрегать, и какие базовые меры защиты обязательно нужно предпринять. 

Что такое безопасность сайта и почему она так важна?

Безопасность сайта —  это ряд мер и протоколов, нацеленных на защиту сайта или веб-приложения от вирусов, спама и других угроз, способных навредить самому сайту и/или его пользователям. Защищенный сайт должен оставаться работоспособным в случае кибератаки и быть практически неуязвимым к попыткам взлома при помощи распространенных методов. 

При этом важно понимать, что защита сайта — это не одноразовая акция. Заботиться о безопасности сайта нужно постоянно: обновлять сертификат безопасности и ПО, делать бэкапы, анализировать код на наличие уязвимостей, проводить обучение сотрудников, чьи действия могут навредить безопасности сайта.  

Игнорирование мер безопасности может привести к краже конфиденциальных данных ваших клиентов: например, злоумышленники могут получить доступ к данным банковских карт пользователей. В этом году от такой атаки пострадали пользователи Wells Fargo — многие из них стали жертвами фишинговой имейл-рассылки.

Чтобы показать вам, насколько важно заботиться о безопасности своего сайта, я позволю себе аналогию. Представьте, что вы живете в Готэме, городе, где кражи — привычное дело. Вряд ли вы бы оставили открытыми двери в свой дом, живя в столь небезопасном месте. К сожалению, интернет-пространство так же небезопасно для сайтов, как и неблагополучный город из вселенной DC. Поэтому не стоит, оставляя свой сайт без защиты, приглашать хакеров заглянуть к вам на чай и прикарманить данные пользователей

5 причин серьезно относиться к кибербезопасности

Все еще не уверены, стоит ли тратить время и ресурсы на соблюдение мер безопасности? Следующие 5 фактов точно должны развеять ваши сомнения.

1. От кибератаки страдают сайты самого разного размера и направленности.

Все мы слышали о громких случаях массовой утечки данных в сфере здравоохранения и о незаконном использовании персональных данных пользователей Facebook для предвыборной рекламы. Но жертвами хакеров стают не только страховые компании и огромные соцсети, но и компании поменьше.

Например, в 2019 от рук хакеров пострадали приложение-соцсеть для обмена видео Dubsmash, сервис поиска медицинских лабораторий Quest Diagnostics, платформа графического дизайна Canva, и еще сотни других сайтов, не все из которых попали в новости. Конечно же хакерам выгоднее взломать сайт большой компании, но маленькие сайты часто более уязвимы и становятся «легкой добычей». 

2. Заботиться о безопасности сайта экономнее, чем разбираться с последствиями взлома.

Если хотите сэкономить компании время и деньги, выделяйте часть месячного бюджета на соблюдение базовых мер безопасности, поиск уязвимостей и их устранение. 

Превентивные методы обходятся гораздо дешевле, чем устранение последствий кибератаки. Согласно отчету IBM об утечке данных, средняя «цена» утечки данных в 2019 году составила $3.86 миллиона. А вот, чтобы предотвратить кибератаки, на защиту своего бизнеса большие компании тратят всего 1-2% бюджета, маленькие бизнесы — около 4%.

3. Некоторые типы кибератак сложно заметить.

Иногда компании даже не знают, что в их онлайн-защите появилась брешь. Киберпреступники могут продолжительное время извлекать конфиденциальные данные с сайта компании и использовать их в своих целях, а владельцы могут даже не подозревать об этом. Поэтому важно всегда держать руку на пульсе кибербезопасности и регулярно проверять свой сайт на наличие уязвимостей и признаков взлома. Например, можно использовать приложения типа Sucuri SiteCheck, чтобы сканировать сайт на вирусы, потенциальные ошибки, выявлять вредоносное ПО.

4. Соблюдение мер кибербезопасности положительно влияет и на SEO, и на репутацию бизнеса.

Кибербезопасность напрямую связана с SEO. Если ваш сайт взломали, на нем могут появиться сотни спамерских исходящих ссылок или редиректов на другие сайты — хакеры используют такие методы, чтобы улучшить ранжирование собственных проектов с помощью «черного» SEO. Они также могут вставить вредоносный код в файлы вашего сайта или изменить ваш файл robots.txt, и тем самым вообще убрать сайт из индекса поисковых систем.

Какой бы способ навредить вашему сайту не выбрали злоумышленники, в результате скорее всего пострадают ваши позиции. В худшем из сценариев ваш сайт может попасть под алгоритмы Google и Яндекса, призванные бороться с попытками манипулировать выдачей. При чем санкции могут быть как ручными, так и автоматическими. В первом случае в ваших панелях вебмастеров Google и Яндекса появятся соответствующие уведомления. Во втором случае о том, попал ли ваш сайт под фильтры поисковых систем, и под какие именно, придется только гадать.

Уведомление в Яндекс.Вебмастере об использовании SEO-ссылок

В любом случае, чтобы вернуть благосклонность поисковых систем вам придется сперва устранить все последствия взлома. А тем временем ваш сайт будет либо показываться в поиске частично (будут наложены ограничения), либо вообще исчезнет из выдачи. 

Пользователи вашего сайта не узнают о том, что вы пострадали от хакеров и впоследствии от алгоритмов Google и/или Яндекса — компании не раскрывает эти подробности публично. Однако, если новости о взломе вашего сайта каким-либо образом распространятся, это может навредить репутации вашего бизнеса в дальнейшем.

5. Защита сайта важна для доверия пользователей.

Иногда Google и Яндекс предупреждают пользователей, что сайт на который они хотят зайти, небезопасен. Это никак не связано с хакерскими атаками и санкциями поисковых систем. Такое сообщение появляется у пользователя, если он хочет открыть сайт, у которого истек срок действия SSL-сертификата или же, если сертификат работает некорректно. 

Невозможно установить безопасное соединение

SSL-сертификат нужен, чтобы сайт работал через безопасный HTTPS-протокол, и обмен данными между сайтом и пользователями происходил через защищенный канал с шифрованием. Когда срок действие сертификата истекает, или если сертификат установлен некорректно, шифрование не работает, и злоумышленники могут перехватить данные посетителей сайта.

Пользователи все еще могут открыть такой сайт, несмотря на предупреждение. Для этого в Яндексе нужно кликнут на «Подробности» — «Сделать исключение для этого сайта», в Google — «Дополнительные» и выбрать опцию «Перейти на сайт example.com (небезопасно)». Но большинство пользователей с большей вероятностью просто закроет страницу.

Примечательно, что если у сайта не было SSL-сертификата изначально, пользователь не увидеть описанного выше предупреждения и сможет спокойно открыть сайт. Единственное, что покажет ему отсутствие сертификата — предупреждающая иконка в левой части поисковой строки.

Вид иконки зависит от браузера. Например, в Яндекс.Браузере сайты, работающие на HTTP, помечаются красным треугольником, а в Google Chrome красный треугольник будет означать, что сайт работает на HTTP и на нем есть поля для ввода персональных данных (формы, вход в кабинет). Если же HTTP-сайт не собирает данные пользователей, то он будет обозначен буквой «i» в кружочке с пометкой «Не защищено».

Не защищено уведомление в Chrome

Безопасный сайт с действующими SSL-сертификатами обозначаются иконкой замка. Именно его должны видеть пользователи, если вы хотите, чтобы у них сложилось положительное впечатление о вашем сайте.

Как защитить свой сайт от кибератак

Надеюсь, мои аргументы были убедительны и теперь, чтобы не столкнуться с тяжелыми последствиями взломов, вы готовы поработать над защитой своего сайта.

Мы составили для вас чеклист необходимых действий, которые помогут вам обезопасить себя и своих пользователей.

✅ Выберите безопасный хостинг

Выбирайте хостинг-провайдера, который использует фаервол веб-приложений (WAF) для активного мониторинга сети. WAF — ваш привратник, который не позволит хакерам и вредоносным ботам получить доступ к вашему сайту и использовать его уязвимости. WAF должен помешать хакерам захватить ваш сайт с помощью SQL инъекций или межсайтового скриптинга XSS. Это также отличный инструмент защиты от DDoS-атаки.

Также безопасный хостинг-провайдер должен регулярно сканировать свои сервера на предмет наличия вредоносного ПО и рассылать своим клиентам отчеты о сканировании. И если (несмотря на все меры предосторожности) файлы вашего сайта все таки пострадали от хакеров или ПО, хостинг провайдер должен помочь вам идентифицировать уязвимость и устранить ее.

✅ Используйте HTTPS-протокол

HTTPS — это безопасный протокол связи для шифрования и обеспечения целостности данных в Интернете. HTTPS гарантирует, что хакеры не получат доступа к данным пользователей, включая конфиденциальную информацию (такую как пароли и данные банковских карт).

Мы уже публиковали подробное руководство по переходу с HTTP на HTTPS: если вы еще не перевели свой сайт на HTTPS, обязательно ознакомьтесь с этой статьей.

Чтобы перевести сайт на HTTPS, необходимо получить сертификат SSL. Регулярно обновляйте свой сертификат, используйте последнюю версию SSL и современное шифрование.

✅ Ограничьте доступ администраторов

Когда хакеры пытаются получить доступ к вашему сайту, они в основном стремятся получить учетные записи с правами администратора. Именно эти аккаунты могут дать им полный контроль над вашим бизнес-проектом. Чтобы уменьшить риски от взлома учетных записей администраторов, ограничьте их использование и давайте доступ к ним только доверенным лицам.

✅ Используйте надежные пароли с двухфакторной аутентификацией

Использование надежных паролей — обязательное условие для всех, кто хочет защитить свои учетные записи. Однако иногда даже надежные пароли не выдерживают атаки “методом полного перебора”. Поэтому важно усилить защиту сайта и добавить двухфакторную аутентификацию для ваших учетных записей CMS и хостинга.

Если вы храните и обрабатываете конфиденциальную информацию на своем сайте, предложите вашим пользователям проходить двухфакторную аутентификацию для доступа к своим учетным записям.

✅ Измените стандартные настройки вашей CMS

Создавая новое вредоносное ПО, киберпреступники обычно нацеливаются на самые популярные CMS, чтобы взломать максимальное количество сайтов, используя один и тот же код. Вы сможете защититься от атаки киберпреступников, если настроите CMS под себя, так как ваш сайт будет работать несколько иначе, чем тысячи других сайтов на этой же CMS.

Помните, что даже небольшие коррективы могут повлиять на ситуацию. Поэтому не забудьте настроить управление пользователями, изменить права доступа к файлам и настройки комментариев.

✅ Регулярно обновляйте свое ПО

Обновление программного обеспечения улучшает безопасность, устраняет баги и уязвимости, которые обычно используют хакеры. Поэтому так важно наладить процесс управления обновлениями программного обеспечения для операционных систем, серверного ПО, CMS, плагинов и других продуктов.

Также рекомендуется избавиться от старого ПО, которое вы больше не используете, особенно если оно не обновлялось какое-то время: такое программное обеспечение оставляет хакерам лазейку для доступа к вашей системе.

✅ Делайте бэкапы — резервные копии данных и сайта

Если вы заблаговременно принимаете меры для защиты, можете не переживать о том, что злоумышленники взломают ваш сайт. Однако всегда есть шанс, что что-то пойдет не так — в конце концов, хакеры постоянно находят новые уязвимости и продолжают улучшать методы своих атак. Чтобы смягчить последствия в случае, если атака на ваш сайт и его данные все-таки произойдет, стоит все эти данные зарезервировать. 

Существует множество вариантов резервного копирования данных. У многих хостинг-провайдеров резервное копирование включено в план, и оно обычно выполняется автоматически. У этого есть и обратная сторона медали: объем данных, которые вы можете скопировать, может быть ограничен. Если вы используете cPanel — одну из самых популярных панелей для управления хостинг-аккаунтами — вы сможете пользоваться встроенной функцией бэкапа, но при этом вам придется делать все вручную.  

Пользователи WordPress могут использовать один из специальных плагинов для резервного копирования, чтобы дублировать действующий сайт в стейджинг-среду или копировать файлы сайта в облачное хранилище — собственное (например, Google Drive или Dropbox) или предоставленное разработчиками плагинов. В зависимости от набора функций, плагины резервного копирования WordPress могут быть бесплатными или предоставляться за ежегодную плату.

Лучше всего сочетать несколько методов резервного копирования. Например, вы можете делать как ежедневные инкрементные резервные копии для облачного хранилища, так и еженедельные резервные копии сервера.

Регулярно проверяйте, все ли работает правильно, и можете ли вы беспрепятственно восстановить данные вашего сайта из резервной копии.

Подведем итоги: вести бизнес без принятия мер кибербезопасности не стоит

Кибербезопасность — не просто модный современный термин. Кибератаки могут нанести реальный вред вашему сайту, например, вывести его из строя или превратить в груду хлама, заполненную спамом и исходящими ссылками на сайты сомнительного содержания. Хакеры также могут использовать ваш сайт для фишинговых атак, которые могут привести к серьезной утечке данных, а это всегда связано как с финансовыми, так и с репутационными потерями.

Обезопасить себя и снизить риск взлома вашего сайта вам помогут передовые методы защиты. И хотя соблюдение мер безопасности будет стоить вам и времени, и денег, вы вероятнее всего можете себе это позволить. А вот цена, которую вам придется заплатить, если вы станете жертвой хакеров, может оказаться непосильной.

4 комментария
  1. Вот вроде все, что вы пишете всем давно известно, а все равно многие забивают и потом расхлебывают последствия
    Спасибо, что напоминаете о важности защиты сайта

  2. Спасибо за отличную подборку советов. Радует, что у меня вроде все по инструкции. Разве, что отчеты о сканировании хостинг не присылает, но проблем с вирусами к счастью не было.

    1. Ксения, спасибо, что поделились своим опытом. Рада, что у вас все в порядке с защитой сайта.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

БОЛЬШЕ ИНТЕРЕСНЫХ СТАТЕЙ
Экспертиза
Что стоит проверить перед покупкой домена: 6 ключевых параметров
Окт 27, 2020 Время чтения: 7 мин

Выясняем, какие характеристики домена нужно проверять и как они влияют на SEO, как правильно определять качество доменов с историей и как выбирать и оценивать доменные имена.

Анастасия Осипенко
Экспертиза
Как узнать ключевые слова, по которым сайт отображается в поиске
Окт 16, 2020 Время чтения: 14 мин

В процессе продвижения сайта может возникнуть вопрос: по каким ключевым словам он показывается в поиске? Найти ответ на этот вопрос и спланировать дальнейшие шаги вам помогут правильные инструменты. В этой статье мы рассмотрим, как определять позиции сайта по ключевым словам в сервисах Google и Яндекса, а также с помощью SE Ranking. Еще вы узнаете, как с нашими SEO-инструментами анализировать позиции сайтов-конкурентов.

Анна Чудная
Экспертиза
Руководство по CSS и JavaScript для SEO-специалистов
Сен 30, 2020 Время чтения: 19 мин

CSS и JavaScript — языки программирования, которые помогают нам создавать красивые интерактивные сайты. Вот только поисковики не всегда могут корректно обработать CSS- и JavaScript-код, что негативно сказывается на ранжировании сайта. В этой статье мы разбираемся, как мы можем помочь Google и Яндексу просканировать страницы, содержащие CSS- и JS-код. Также мы рассмотрим частые ошибки CSS и JavaScript и способы их решения.

Светлана Щегель