Как защитить сайт

Список шагов обеспечения безопасности сайта

  1. Для создания, хранения и периодического обновления паролей используйте специальные программы-менеджеры.
  2. Следите за учетными данными пользователей. Запретите доступ к функциям администратора.
  3. Используйте протоколы с высоким уровнем безопасности (SFTP, SCP).
  4. Отключите У.З. "по-умолчанию", системные функции слежения, оставив необходимый минимум. Максимально изолируйте сайт.
  5. Регулярно устанавливайте обновления системы, программ и приложений.
  6. Убедитесь, что файлы и каталоги имеют доступ "только для чтения", исполнение скриптов при загрузке системы запрещено.
  7. Отключите неиспользуемые программы и компоненты.
  8. Максимальная антивирусная защита головного ПК.
  9. Автоматическое создание бэкапов на хостинге.
  10. Не игнорируйте предупреждения и рекомендации в админпанели по безопасности от систем Яндекса и Гугла.
  11. При передаче информации клиентам, покупках, оплате товаров и услуг используйте безопасный протокол: HTTPS.
  12. Устанавливайте надежные CMS с многоуровневой защитой. Например, 1С-Битрикс, имеющий уникальный набор функций безопасности работы в сети. Не забывайте обновлять платформу.
  13. Проводите регулярный аудит уязвимости системы с помощью специальных программ, обратитесь к компетентным специалистам для профессионального анализа.

Профилактика – лучшая защита от угроз

Соблюдать меры безопасности надо постоянно. Аудит на уязвимости рекомендуем проводить до того, как сайт заблокируют. Лучше подстраховаться, но убедиться, что ресурс хакерам не по зубам.

Что включает аудит безопасности (симуляция атаки хакеров)

  1. Испытание методом подбора паролей.
  2. Внедрение XМL-сущностей (попытка заражения).
  3. Обнаружение проблем в компонентах ресурса.
  4. Попытка манипуляций с кодом (удаленно).
  5. Аудит серверного веб-влияния и системных приложений на уязвимость.
  6. Проверка на присутствие и обнаружение чужеродного кода.
  7. Возможность обойти аутентификацию, игнорируя статус.
  8. Обнаружение проблем в XSS/CSRF.
  9. Возможность перехвата привилегированных аккаунтов, сессий.
  10. Анализ реакции на файловые инъекции Remote File Inclusion/ Local File Inclusion.
  11. Возможность модификации.
  12. Анализ взлома редиректы и допустимость перенаправления на «поддельные» сервера-страницы.
  13. Анализ директорий методом подбора паролей, уязвимость на попытку взлома, используя индекс Гугл.
  14. Аудит надежности вводимых данных: регистрация, авторизация, восстановление пароля, поиск и пр.
  15. Попытка получения защищенных сведений открытым способом.
  16. Симуляция атаки уровня Race Condition – выявление дыр безопасности при создании многопоточных путей передачи информации.
  17. Автоматическое сканирование 

Программы для аудита

Программы, имитирующие хакерские атаки, позволяют обнаружить уязвимости ресурса разного типа и класса сложности. Дают рекомендации по защите, закрывая дыры в безопасности системы. Сканеры бывают трех видов:

  1. Сетевые используются дистанционно, входя в сеть через сервисы. Один из самых популярных типов программ для аудита.
  2. Пассивные используют сетевой трафик, как источник данных. Влияние, оказываемое программой на брешь в системе безопасности минимально.
  3. Локальные сканеры подключаются к проверяемому узлу. Выдают высокоточные сведения об уязвимостях сайта. Процесс – сравнение атрибутов и параметров файлов системы.

Рекомендации:

Чтобы поддержания безопасности сайта необходим регулярный контроль. Аудит выявит проблемы, обнаружит дыры, но многие задачи решаются с привлечением специалистов-профессионалов. Полноценную защиту от хакерских атак обеспечат: доработки в программной части, инженерное обслуживание, наладка технической составляющей и т.п.

+7 936 111-00-12 mail@click-cluck.ru
Показать теги
Скрыть теги
Скачать презентацию
Отправить заявку / письмо

Согласен на обработку персональных данных