Здравствуй, уважаемый друг!

Кажется, ты используешь AdBlock. Этот проект развивается и существует за счет доходов от рекламы.
Добавь, пожалуйста, нас в исключения.

Спасибо за понимание.

Теперь мы команда!

Как защитить свой сайт от взлома

17 февраля 2015 в 12:00 Автор: Nikita_Sp в категории Создание сайтов 0 комментариев

Если вы долгое время занимаетесь созданием сайтов, то вам приходилось сталкиваться с заказчиками, которые по тем или иным причинам желают быть уверенным на 100% что их никто не взломает, и сайт будет нерушим, аки крепость. Но так ли просто обеспечить 100% защиту и дают ли такие гарантии вообще?

Как защитить свой сайт от взлома

Давайте попробуем разобраться в методах взлома и защиты сайтов, ответить на вопрос как же защитить свой сайт от взлома, и стоит ли бояться атаки вообще.

Зачем взламывать сайт?

Причин по которой может быть взломан тот или иной сайт может быть большое количество, однако, давайте выделим одни из самых распространенных причин:

  1. устранение конкурента — конкурент «заказывает» ваш сайт «специально обученным людям» и таким образом выводит вас из строя;
  2. размещение вредоносного кода — злоумышленник размещает в коде вашего сайта код, который загружает вирус всем вашим посетителям на устройства с некой целью. Опять таки, лишая вас аудитории, которая увидев вирус на сайте не вернется;
  3. размещение рекламы/ссылок/фреймов — способ нечестно заработать или продвинуть ресурс за счет вашего сайта. Фрейм — окно, в котором подгружается другая страница/сайт.

Стоит ли бояться атаки на мой сайт?

Как мы убедились, причин для взлома вашего ресурса может быть более чем достаточно, однако все они имеют одну и ту же цель — использование ваших посетителей в своих целях.

Таким образом, мы можем сделать вывод, что ваш сайт может стать целью злоумышленников только в случае если он достаточно популярен, и имеет хорошую посещаемость. До тех пор, пока ваш сайт посещается только вами и вашими друзьями — вам не о чем беспокоиться (:

Защита сайта от взлома

Для того чтобы ответить на вопрос «как защитить сайт от взлома», давайте сначала разберемся в методах взлома сайтов. Сайт может быть взломан несколькими разными способами:

  • подбор пароля к административной части сайта;
  • подбор пароля к хостингу/фтп/базе данных;
  • «кража» паролей при помощи вредоносных скриптов (XSS);
  • взлом через поля ввода на сайте (SQL Injection)

Если в первых двух случаях ясен принцип работы злоумышленника, и пароли просто подбираются в течении некоторого времени, и оптимальной защитой является применение сложных и разных паролей, то давайте рассмотрим остальные методы и как они между собой связаны.

Как происходит кража паролей? Что такое XSS? Давайте попробуем разобраться что же это такое, воспользуемся определением с Wikipedia:

XSS (англ. Cross Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. Является разновидностью атаки «внедрение кода».

Специфика подобных атак заключается в том, что вредоносный код может использовать авторизацию пользователя в веб-системе для получения к ней расширенного доступа или для получения авторизационных данных пользователя. Вредоносный код может быть вставлен в страницу как через уязвимость в веб-сервере, так и через уязвимость на компьютере пользователя.

Для термина используют сокращение «XSS», чтобы не было путаницы с каскадными таблицами стилей, использующими сокращение «CSS».

Кражу паролей при помощи вредоносных скриптов очень легко предотвратить, прекращением открытия неизвестных ссылок, ввода паролей на неизвестных сайтах, или сайтах, которые выдают себя за другой ресурс. Также рекомендуется использовать антивирус для предотвращения загрузки вредоносного программного обеспечения на персональный компьютер.

От взлома сайта через поля ввода (SQL Injection) защититься тоже не сложно, но для начала давайте разберемся что такое SQL Injection.

Современные сайты имеют определенный минимальный уровень интерактивности, (под интерактивностью подразумевается наличие полей для ввода информации посетителем) и именно он позволяет при не качественной реализации сайта получить доступ к закрытым разделам.

Любое поле для ввода, расположенное на странице сайта подразумевает обработку отправляемой информации на сервере. К примеру если это форма авторизации, то поля ввода логина и пароля могут напрямую подставляться в SQL запрос, который проверяет наличие пользователя с такими параметрами и тут злоумышленник может внедрить свой код.

При помощи данной уязвимости злоумышленник получает доступ к вашей базе данных, а это означает что он имеет возможность полностью контролировать ваш сайт, даже незаметно для вас.

Для того чтобы закрыть данную уязвимость необходимо добавлять для каждого поля соответствующую обработку на ввод данных, не допускать использование нефильтрованых переменных в SQL запросах.

Итог

Итак, мы можем сделать вывод, что безопасность сайта зависит как от разработчика, который создает сайт, его компетенции и желания сделать все корректно и верно, так и от пользователя и его беспечности при открытии подозрительных ссылок.

Также, обратите внимание, что в данной статье мы не рассматриваем варианты как можно заблокировать или положить сайт (привести ресурс в нерабочее состояние). Для более ознакомления с более детальной информацией вы можете почитать про DoS или DDOS атаки.

Если вы знаете чем дополнить данную статью, или вы не согласны с чем-то — пишите в комментариях — защитимся вместе!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Вверх!

Меню блога

Категории блога

Облако тегов