Обеспечение безопасности сайта

Обеспечение безопасности Вашего сайта, расположенного на виртуальном хостинге/виртуальном сервере/выделенном сервере

- У Вас сайт на виртуальном хостинге? Ваша информационная подсистема состоит из следующих подсистем/частей:

  1. Операционная система сервера, на котором настроен виртуальный хостинг;
  2. Программы и библиотеки, управляющие доступом к серверу;
  3. Система управления содержимым сайта;

Безопасность Вашей информационной подсистемы состоит из:

  • Целостности Ваших данных: никто не должен иметь возможность изменить даже какую-либо часть информации на сайте без Вашего ведома;
  • Доступности Вашей информации: сайт/информация на сайте должен(на) быть доступен(на) для пользователей. Доступ не должен быть ограничен без Вашего ведома;
  • Секретности информации: внутренняя/закрытая информация, такая как пароли доступа, не должна стать доступной неавторизованным пользователям.

Злоумышленник может нарушить безопасность Вашей информационной подсистемы из-за уязвимостей в любой из её частей. Уязвимость - это возможность получить неавторизованный доступ к подсистеме, используя ошибки в коде или логике функционирования подсистемы, используя которые злоумышленник может заставить систему функционировать не так, как задумано её разработчиками, и выполнять неавторизованные операции.

Уязвимости разделяются на две большие группы:

  1. "Известные на данный момент". Если кто-либо из исследователей безопасности информационных систем или же просто добросовестных пользователей находит уязвимость, то он публикует информацию о ней, а разработчики информационной системы, в которой найдена уязвимость, выпускают обновление, устраняющее уязвимость. В России уязвимости публикуются в "Базе данных угроз безопасности ФСТЭК" (https://bdu.fstec.ru/vul). В мире уязвимости публикуются в базе данных CVE.
  2. "Неизвестные на данный момент" или "уязвимости нулевого дня". Это уязвимости, информация о которых на данный момент ещё никому неизвестна (кроме злоумышленников, намеревающихся её использовать) и исправлений для которых ещё не выпущенно.

Первая группа уязвимостей гораздо обширнее второй, но от неё можно обезопаситься регулярно применяя выпускаемые разработчиками обновления для всех частей информационной системы (для ОС, для программ и библиотек, для системы управления содержимым сайта). ФСТЭК регулярно выпускает и рассылает бюллетени с информацией о новых найденных уязвимостях и рекомендации об их устранении (применении обновлений и т.д.).

Вторая группа уязвимостей  гораздо меньше первой, но более опасна тем, что такие уязвимости ещё никому неизвестны (кроме злоумышленников) и исправлений для них ещё не существует.
Защита от таких потенциальных уязвимостей более сложна и дорога и включает в себя настройку и использование специальных web-фареволов уровня приложений (WAF - Web Application Firewall).

Мы поможем Вам проанализировать Вашу информационную систему на известные уязвимости:

  • Ваш виртуалный хостинг настроен на сервере со старой версией ОС - Вы под угрозой!
  • Владелец Вашего виртуального хостинга не производит регулярные обновления программ и библиотек - Вы под угрозой!
  • Система управления сайтом не обновляется владельцем хостинга - Вы под угрозой!
  • Владелец хостинга не мониторит информационные сообщения ФСТЭК и не следует рекомендациям по устранению уязвимостей - Вы под угрозой!

Мы дадим Вам рекомендации по улучшению информационной безопасности Вашего сайта. При необходимости мы порекомендуем Вам хостинг, где ответственно подходят к обеспечению безопасности.

Безопасность
аутентификации

Самая частая причина потери контроля над ресурсами - это компрометация данных аутентификации. Это может быть и подбор пароля при известном логине, и компрометация всей пары при хранении таких данных незащищённым способом, нарушение цифровой гигиены с установкой шпионского ПО, или потеря доступа к почте, номеру мобильного телефона, и даже эккаунту мессенджера, через который такая пара пересылалась.

Уязвимость
CMS

Второй по массовости причиной является использование уязвимостей на уровне CMS. Это может быть как использование уязвимых версий CMS, так и встраивание в код страниц сайта стороннего исполняемого кода и, конечно, нарушение правил конфиденциальности при открытии (не закрытии) внешнего доступа к служебным папкам и страницам сайта.

Надёжность
Хостинга

Ваш выбор хостинга может предопределить уровень уязвимости вашего сайта. Даже если Вы: грамотно храните и используете логин и пароль, построили сайт на защищённой CMS, не встраиваете в неё эксплойты, которые не понимаете, и закрыли доступ к служебным файлам и каталогам, безалаберность службы поддержки хостинга, игнорирование ими сообщений об уязвимостях ПО и его редкое обновление может привести к тем же последствиям, что и в первых двух случаях.

Актуальное
ПО

Следить за актуальностью используемого на вашем сервере ПО, операционной системы, программ, библиотек и их настроек, конечно должен хостер. Но и владельцу сайта не мешает понимать и разбираться в том, что установлено на хостинге и как это обновляется и актуализируется. Хакеры не охотятся за всеми, и, возможно, ваш уязвимый сайт так и не будет взломан... если ни Вы, ни информация на нём никому не нужны. А, возможно, ваш защищённый сайт станет объектом взлома пятикласcника, оттачивающего навыки программирования и следящего за перечнем уязвимостией. :-) Но... Бережёного бог бережёт!

Как получить бесплатный аудит сайта

Просто и доступно,
по шагам.

  • Познакомиться с нами

    Прочитать на нашем сайте про возможные уязвимости и предлагаемые нами методы анализа и защиты

  • Отправить заявку

    Написать нам о желании получить бесплатный аудит безопасности сайта

    Заказать
  • Предоставить доступы

    На основе договора о конфиденциальности информации предоставить доступы к анализируемому сайту и его статистике

  • Получить аудит

    Получить и изучить аудит безопасности сайта и рекомендации по её обеспечению.

  • Подписаться на новости

    Начать следить за трендами безопасности сайтов в наших социальных сетйх, сервисах и мессенджерах

    Подписаться
  • Получить оферту

    Получить предложения по дальнейшему обслуживанию и поддержке безопасности сайта от нашей компании.

Безопасность сайта