Страшный сон владельца сайта
И еще один актуальный вопрос, который я часто слышу от своих клиентов. В этой статье мы поговорим о безопасности сайта. Тема сложная и многогранная, поэтому данный материал будет содержать скорее рассуждения и отдельные тезисы.
Итак, страшный сон клиента - это, конечно же, сбои в работе сайта, потеря заказов, контента вследствие стороннего вмешательства в работу ресурса. И тут следует начать с банального утверждения: “взломать можно все что угодно”. Вопрос желания и материальных возможностей. Все Вы слышали о подобных историях у нас и за рубежом. В последнее время тенденция появления “компьютерных эпидемий” стала очень актуальной. Страдают банки, правительственные учреждения, крупные и мелкие компании в различных областях, включая здравоохранение. Безусловно, речь идет в основном не о сайтах, а о нарушении работы бухгалтерских программ, баз данных с серьезной информацией, платежных систем и т.д. Но в принципе суть та же, т.к. большинство вышеперечисленных систем работают online и так или иначе связаны с сетью Internet.
Так с чего же начать, спросите Вы? Безопасность начинается с личного компьютера. Очень часто я слышу историю о том, что на домашнем или рабочем компьютере “стоит какой-то антивирус, который наверно год не обновлялся”. Учтите, что одним из источников заражения Вашего сайта может являться Ваш собственный компьютер! Я уже молчу о том, что это подвергает опасности личную и деловую информацию.
Вот банальные и известные всем опытным пользователям советы:
1. Проверяйте состояние антивирусной защиты, а лучше периодически заказывайте проверку у специалиста. Обращайте внимание на все подозрительное в работе ПК (снижение скорости работы, появление неизвестных программ и т.д.).
2. Не храните Ваши пароли в текстовых документах на жестком диске, в настройках браузера и других программ, на электронной почте.
3. Придумывайте сложные пароли (не менее 8-12 символов) с использованием букв, цифр, спецсимволов и периодически меняйте их. Не используйте в качестве пароля дату Вашего рождения, фамилию и т.д.
4. Старайтесь не работать с панелью управления сайтом и другой важной информацией по WI-FI в публичных местах или с чужого компьютера.
5. Не вставляйте на сайт фрагменты кода, виджеты, баннеры сомнительных порталов, ресурсов и т.д.
6. Будьте бдительны, передавая доступ к сайту и хостингу третьим лицам (менеджерам, специалистам по продвижению).
Как не странно, большинство проблем будут решены при соблюдении этих простых правил. А теперь все-таки относительно безопасности сайта, закладываемой разработчиком. Тут стоит подходить с разных точек зрения. Если у Вас большой сложный проект, который предполагает работу с денежными средствами, хранение и обработку конфиденциальной и действительно важной информации, высокую степень взаимодействия с пользователем, то стоит уделить безопасности особое внимание. Возможно, стоит доверить разработку такого сайта зарекомендовавшей себя студии, которая обладает соответствующим опытом, наработками, специалистами и дает серьезные гарантии. В этом случае вопросами безопасности может заниматься отдельный специалист, как на стороне студии, так и на стороне заказчика. Безусловно, сторонний аудит тоже никто не отменял. Это недешевый подход, который тем не менее единственно правильный для больших проектов. Это актуально и для сайтов компаний, занимающих лидирующие позиции в своих областях, когда это соответствует первым позициям в поисковой выдаче. Тут конкурентная борьба обострена до предела, будет масса недоброжелателей и так далее. При этом, кроме аспектов безопасности сайта, следует рассматривать и маркетинговые угрозы, такие как черный пиар, недобросовестные media-ресурсы и т.д. Также сюда можно отнести и так называемое черное SEO, которое может быть использовано против сайта даже без его взлома, но это уже совсем другая тема.
Если Вы хотите разработать лендинг, сайт-визитку, интернет-каталог или небольшой интернет-магазин для среднего или малого бизнеса, то следует взять во внимание немного другие аспекты. Дело в том, что большинство таких проектов выполняются на CMS с открытым исходным кодом типа Wordpress, Joomla, Drupal, Opencart и т.д. Отдельные разработчики могут предложить собственные или малоизвестные платформы. Во всех этих случаях вопрос безопасности остается открытым. Для общедоступных CMS проблемой является постоянное появление новых уязвимостей и массовые атаки на них (вирусы, работающие автоматически). Платформы “собственного производства” лишены этого недостатка, т.к. не являются известными и популярными, но они могут не иметь сильного алгоритма безопасности. В любом случае, простые и бюджетные решения будут обладать меньшей степенью защиты, это нужно понимать. Безусловно, Вы можете заказать мощную дверь на 10 замках в квартиру, где нет ничего особо ценного, а смысл?
Давайте разберемся, кому и зачем может понадобиться вредить работе небольшого сайта? Конечно же, конкурентам! Да, это так, но следует понимать, что даже самый простой сайт будет обладать защитой, с которой не справится офис-менеджер. А услуги специалистов по этим вопросам стоят не дешево. Эти деньги эффективнее потратить на продвижение собственного сайта, чтобы обойти конкурента в результатах поисковой выдачи. Да и худой мир лучше доброй войны, не так ли? Если же у Вас появился принципиальный недоброжелатель, который не жалеет денег и времени на то, чтобы портить Вам жизнь - ищите его offline. Против таких людей защиты не существует. Сегодня он выведет из строя сайт, а завтра подожжет офис… В этой ситуации хочется вспомнить старого мультяшного героя и его наивное: “Ребята, давайте жить дружно”.
Также целью злоумышленника может являться размещение на Вашем сайте скрытой или явной рекламы, ссылок и т.п. Подобное явление характерно для “заброшенных сайтов”, которые никто не обслуживает. Если с сайтом работает менеджер, подобную диверсию быстро обнаружат и устранят. Если атака была целевой, то она скорее всего не повторится. Если же Ваш сайт выполнен на одной из CMS с открытым кодом, и подобные проблемы имеют систематический характер, то скорее всего это массовая атака по уязвимости, и следует обратить внимание разработчика на эту проблему.
Безусловно, не стоит забывать про энтузиастов и начинающих, но здесь тоже есть нюансы. Во-первых, в качестве объекта, как правило, выбирается “серьезный противник”, иначе не интересно и кому потом рассказывать о взломе никому неизвестного сайта… А как же вредительство, спросите Вы? Уважающий себя взломщик работает тихо. Вы скорее всего даже не узнаете, что он там был. А при отсутствии какой-то важной информации, интересом может являться разве что сам факт взлома. Это как спорт, в котором не нужно убивать вратаря команды противника, важно забить красивый мяч. И когда мячей забито достаточно, такие спецы начинают “играть по-крупному”, или становятся специалистами по безопасности в компаниях на очень высоких зарплатах.
В итоге резюмируем, что вопрос безопасности, безусловно, очень важен и актуален. Заказывая разработку сайта, следует обязательно учитывать это. Но не будьте излишне фанатичными, периодически делайте резервные копии сайта и базы данных, сохраняйте постоянных контакт с разработчиком и оговаривайте последовательность действий в случае возникновения проблем. Надеюсь, что данный материал окажется полезным. Если понадобится создание сайтов в Харькове - обращайтесь!