Безпека веб-ресурсів і різних систем, доступність до яких забезпечується через інтернет, вже не перший рік турбує фахівців, що відповідають за їх працездатність.

Захист сайту

З самого початку винаходи інтернету практика його використання показала, що до існуючим загрозам не можна ставитися безвідповідально. Колись були зламані сайти американського Сітібанку, НАТО, ЦРУ. Немає відчуття безпеки і у сучасних власників сайтів.

Безумовно, безпека і захищеність сайтів в більшій мірі залежить від конфігурування сервера, від правильного налаштування встановленої на ньому операційної системи, від додаткового мережевого обладнання. Але так як основна маса веб-майстрів розміщує свої проекти на віртуальному хостингу, то і впливати на перелічені фактори вони не можуть. Ці функції знаходяться за межами їхніх можливостей. Відзначимо, що для компанії, що робить свій бізнес на продажі і супроводі програмного забезпечення 1с бухгалтерія, наприклад, наявність надійного сервера — найголовніше завдання.

Як правило, найбільш великі та відомі хостери займаються адмініструванням своїх серверів досить грамотно. Зламати їх системи — справа не проста, вимагає значних зусиль і високої хакерської кваліфікації. В той же час, сайт, розташований на ідеально захищеному сервері, все-таки не застрахований від найпростіших і елементарних помилок, що допускаються самими власниками ресурсів. Що потрібно знати, щоб не відкрити «ворота» сайту для зломщиків?

Менш стійкі до злому сайти, встановлені на CMS. Візуальний редактор, звичайно, зручний, він дозволяє вносити зміни і займатися адмініструванням ресурсу віддалено, але громіздкі скрипти роблять сайт більш уразливим для злому і незахищеним від DDoS-атак.

Якщо без використання скриптів не обійтися і відмовитися від них не можна, то слід більш відповідально підійти до їх вибору і установці. Сьогодні існує чимало різних движків і скриптів для сайту. Серед них зустрічаються платні комерційні версії, але є й безкоштовні, які можна вільно завантажити і встановити на своєму ресурсі. Проблеми з безпекою є і в тих, і в інших.

Перед тим як використовувати вибраний скрипт, слід знайти про нього інформацію на спеціалізованих форумах, щоб переконатися в стійкості даного скрипта до злому. Небажано користуватися найсвіжішими версіями скриптів, які не встигли пройти перевірку часом. Найкращий варіант — це версії, які вже тривалий час використовуються на великій кількості сайтів: ймовірність наявності дірок в них мінімальна.

Після установки скрипта слід час від часу заглядати на офіційний сайт, де виконується підтримка даного скрипта. Якщо уразливості будуть виявлені, то нові оновлення або патчі слід завантажити і встановити, щоб якнайшвидше ліквідувати вразливість.

Варто відзначити, що багато солідних сайти не обходяться без форм зворотного зв’язку. Наприклад, ресурс, присвячений розробці і супроводу програмного продукту 1с підприємство, зазвичай має форму замовлення або надає можливість залишати повідомлення. Якщо в скрипті не передбачена фільтрація даних, то будь-який користувач може в форму для коментарів до статті ввести код на мові програмування, який буде виконуватися при завантаженні сторінки.

Такий фокус цілком може зробити сторінку неробочою. Можлива також крадіжка пароля адміністратора, а отже і отримання доступу до його функцій. Недостатня фільтрація, мабуть, найпоширеніша помилка, яка знижує безпеку ресурсу.