Кто и для чего взламывает сайты? Основные цели подобного взлома. Кто такие хакеры? Что в безопасности сайта зависит от веб-мастера, а что от хостинга?
Взлом хостинга: кому это нужно и как защитить свой сайт
Несмотря на то, что индустрия сайтостроения во всемирной паутине развита очень хорошо, а тысячи компаний предлагают услуги по созданию, раскрутке и размещению веб-ресурсов, в рекламных акциях вопросу о безопасности и вероятности взлома действующего сайта не уделяется должного внимания. А между тем именно этот момент является самым важным как в процессе разработки ресурса, так и в выборе хостинга. Но давайте обо всё по порядку.
Кто и для чего взламывает сайты?
Тех, кто занимаются этим недобрым делом, называют хакерами (от английского «hack» - «взламывать»). Как правило, это веб-программисты, для которых подобного рода занятие является своеобразным хобби или же способом заработка.
В первом случае взлом сайта осуществляется с какими-либо личными целями. К примеру, так называемый дефейс – когда злоумышленник получает доступ к главной странице и меняет её содержимое, может быть использован как с целью «насолить» неугодному сайту, так и выразить свою гражданскую позицию по актуальному вопросу: экологическому, военно-политическому и т.д. Подобные атаки рассчитаны, как правило, на привлечение внимания пользователей, довольно легко устранимы и не наносят вреда остальной функциональности ресурса.
Второй вид вредительства более коварен. Самый распространенный мотив взлома сайта «на заказ» - это получение доступа к почтовым базам данных с целью последующей спам-рассылки (очень часто от имени взломанного сайта) или же к учетным записям пользователей (особенно когда речь идет о популярном сервисе с платной регистрацией) с последующей перепродажей информации заинтересованным лицам.
Правда, в последнем случае осуществить такой сбыт без соответствующих связей не так-то просто и уголовно наказуемо. В настоящее время особую «популярность» приобрела третья основная причина взлома – установка полного контроля над сервером, то есть получение прав администратора со всеми вытекающими полномочиями. Это наиболее нежелательный сценарий хакерского проникновения, так как пока вы будете искать пути решения проблемы, сервер могут просто продать…
Можно ли обезопасить себя от подобных неприятностей и как это сделать? На самом деле, абсолютной защиты, которая бы на все сто процентов гарантировала неприкосновенность вашего ресурса для злоумышленников, просто не существует, так как в любой системе есть уязвимое место. Другое дело, что можно свести к минимуму количество подобных «дыр» как в процессе веб-строительства, так и при выборе хостинга.
Основные «анти-взлом» меры со стороны веб-мастера следующие:
- Не пользуйтесь услугами программистов-дилетантов, а если не уверены в своих силах – не беритесь за самостоятельное создание скриптов. На стадии тестирования на локальном компьютере в режиме отладки не ленитесь исправлять найденные ошибки кода.
- Не выкладывайте в свободное скачивание и не продавайте скрипты, написанные вами для своего ресурса: имея перед глазами исходный код одного скрипта, можно просчитать принцип работы всех остальных.
- Периодически делайте частичное или полное тестирование своего ресурса из разных браузеров (особенно из Internet Explorer, который имеет такое количество багов (ошибок), что является фактически «открытой дверью» для хакера). Поставьте себя на место вероятного взломщика и попытайтесь найти уязвимость со всех возможных позиций. При этом не забывайте проверять, как и откуда происходит запуск тех или иных скриптов.
- Используйте .htaccess и регулярно просматривайте логи.
- Если в качестве движка применяется CMS, следите за обновлениями версий и своевременно устанавливайте их. Не используйте демо-версии компонентов, даже если они имеют подходящий функционал.
Наконец, ещё один этап мер безопасности – это выбор хостинга. Полагать, что все хостинг-предложения различаются лишь по объему дискового пространства, поддерживаемым языкам программирования и прочим общим параметрам – большое заблуждение для такого вопроса, как безопасность. И хоть согласно законодательству, в обязанности провайдера не входит проведение дополнительных мероприятий по обеспечению противовзломных мер, минимальный набор средств безопасности со стороны хостинга присутствовать обязан и он сведен к следующему:
- обеспечение доступа к содержимому веб-сервера должно осуществляться по безопасным протоколам и с использованием соответствующего программного обеспечения;
- системные папки (public_html, cgi, logs и т.д.) должны иметь ограниченные права доступа и находиться в установленных директориях;
- чтобы случайно не выставить в свободный обзор не предназначенные для этого папки или скрипты, при добавлении на сервер любых файлов права на их просмотр должны автоматически ограничиваться;
- оборудование хостинга обязано работать без сбоев, простоев и иных снижающих работоспособность ресурса факторов.
И последний немаловажный момент безопасности, это, безусловно, предпочтение исключительно Linux-хостинга, который сам по себе несравнимо устойчивее, чем Windows.
|