Инструменты безопасности Неткэта
Безопасность - один из тех аспектов работы сайта, которые проходят мимо внимания владельца или пользователя до тех пор, пока не случится страшное. Конечно, это не относится к сайтам, хранящим коммерческую, конфиденциальную или чувствительную информацию: финансовые транзакции, клиентскую базу и заказы, внутрикорпоративные документы, персональные данные и так далее. Ведь если у меня простой корпоративный или промо-сайт, злой хакер или конкурент не смогут разжиться ничем полезным, взломав его. Могут испортить главную страницу, написать на ней что-то нехорошее, но восстановить сайт из бэкапа хостера проще простого, а для конкурента заказать такой взлом будет стоить недешево. Ну и зачем ему это?
К сожалению, все не так просто, и на то есть как минимум три причины.
1. Абсолютное большинство взломов сайтов - массовые
Взломавший ваш сайт хакер скорее всего даже не узнает о его существовании. Происходит это обычно следующим образом. В одном из программных компонентов, используемых на сайте, находится уязвимость. В самой CMS, в каком-то модуле или плагине, разработанном независимыми разработчиками, или в сторонних скриптах, установленных на нем. Злоумышленник, нашедший уязвимость или прочитавший о ней, формирует запрос в Гугле, позволяющий найти сайты, где установлен этот компонент. И затем по этому списку проходится скрипт, написанный нашим злоумышленником, который через эту уязвимость делает с сайтом нехорошие вещи. Об этих самых нехороших вещах - в п.3.
2. Если сайт уязвим, найти дыру не так уж сложно
Если желание атаковать именно ваш сайт у злоумышленника (конкурента или уволенного сотрудника или какого-то другого неравнодушного гражданина) достаточно устойчивое, он легко найдет в сети сервисы и скрипты, позволяющие просканировать ваш сайт на наличие уязвимостей. И, если они есть, шансы на их нахождение достаточно велики, даже если у атакующего нет специальных навыков.
3. О взломе сайта вы можете узнать нескоро
Самая, наверное, распространенная цель взломов - скрытое размещение на нем скриптов и страниц, которые могут повредить сайту - и скорее всего, именно так и поступят. Это поисковый спам, скрипты рассылки почтового спама или даже скрипты атак на другие сайты. При этом, с виду сайт прекрасно работает и отлично выглядит, и подвоха вы не заметите. Зато заметят поисковые машины и почтовые службы. Закончится это скорее всего помещением IP вашего сайта в черные списки и выпадением из индекса поисковых машин.
То есть, независимо от модели вашего сайта, наличия на нем секретной информации и отношения к вам конкурентов шансы попасть под раздачу всегда есть. Поэтому старайтесь по-максимуму использовать инструменты безопасности, предлагаемые системой управления вашим сайтом.
Контур безопасности Неткэта
Помимо традиционных и всем известных способов защиты сайта (не использовать простые пароли, не использовать один пароль на разных сайтах, не вводить его на чужих компьютерах; использовать хостинг с автоматическим созданием резервных копий; удалять аккаунты сотрудников/подрядчиков, уже не работающих с вами) Неткэт предлагает несколько очень действенных средств, грамотное использование которых кардинально увеличит уровень защищенности вашего веб-проекта.
Активный фильтр входящих данных
Подавляющее число взломов сайтов в мире приходится на PHP/SQL-инъекции и межсайтовый скриптинг (XSS), когда злоумышленник заставляет программное обеспечение сайта выполнять злую волю команды, подаваемые ему извне. Для программистов существуют правила разработки, следуя которым, он защищает свои скрипты (программы) от такого рода атак. Но это не всегда срабатывает по целому ряду причин: от человеческой невнимательности до повсеместного использования сторонних программных библиотек. Поэтому во всех редакциях Неткэта начиная с версии 5.8 мы встроили фильтр входящих запросов, который отлавливает потенциально вредоносные запросы и не позволяет собственным или сторонним программам, расположенным на сайте, выполнять чуждые им инструкции.
Поддержка HTTPS
Наверняка вы слышали или читали о том, что не стоит вводить пароли или реквизиты банковских карт при подключении через непроверенные wifi-сети: злоумышленник может перехватывать и записывать трафик где-нибудь на полпути между сайтом и ноутбуком/телефоном пользователя. Использование протокола HTTPS вместо привычного HTTP снимает такой риск: трафик между сервером и вашим устройством надежно шифруется и не поддается дешифровке. Настроить HTTPS в Неткэте очень просто, и после этой процедуры вам не придется задумываться о надежности канала связи.
Гибкая система разграничения прав
Иногда для управления сайтом необходимо несколько разных ролей: обновление ассортимента, обработка заказов, обработка заявок, размещение вакансий, создание новых материалов и так далее. И если речь не идет о микробизнесе, скорее всего, эти роли распределены между несколькими сотрудниками. Чтобы не дать человеку возможность случайно или специально повредить то, что ему не полагается, в Неткэте предусмотрена мощная разветвленная система разграничения прав. Мы можете дать сотруднику доступ на какое-либо действие (чтение, добавление, редактирование своих и/или чужих записей) на весь сайт, отдельную страницу или ветку структуры сайта; добавить исключение (например, все страницы внутри раздела “О компании”, кроме страниц новостей), ограничить срок действия права; объединять пользователей в группы и устанавливать права для групп. Создавать новые роли, ограничивать или расширять полномочия пользователей, временно выключать или навсегда удалять их из системы - в Неткэте все это очень просто. А модуль логирования действий пользователей поможет отследить автора нелегитимного вмешательства, если оно произошло изнутри.
Внешний мониторинг признаков проблем с безопасностью
Защита безопасности должна быть многосторонней, и важным способом диагностики проблем на ранней стадии является внешнее сканирование сайта на предмет вредоносного, небезопасного и подозрительного контента. Неткэт предлагает своим пользователям интеграцию с сервисом Sitesecure прямо “из коробки”: настройка мониторинга займет у вас минимум времени.
Защита от перебора паролей
Еще один способ взлома сайтов - автоматический перебор паролей, подаваемых на форму авторизации. Вражеский скрипт с огромной скоростью пытается подобрать пароль какого-либо пользователя (например, admin) по заранее составленному списку (есть специальные списки наиболее часто используемых паролей, их там огромное количество, и не факт, что пароли всех ваших коллег туда не входят), и, если ему это удается, получает полные права этого пользователя. Неткэт позволяет показывать капчу (“введите символы, которые вы видите на картинке”), если первая попытка авторизации пользователя оказалась неудачной. Это сделает сделает перебор паролей невозможным или затянет на столетия. Устанавливается такая защита в настройках безопасности системы.
Авторизация через USB-токены
Если все возможные правила уже исполнены, инструменты настроены, но хочется чего-то большего полностью исключить риск перехвата пароля, есть способ от этого пароля вообще отказаться. В этом вам поможет USB-токен: устройство, вставляемое в USB-порт вашего компьютера, без которого злоумышленник просто не сможет авторизоваться на сайте, как бы он это ни желал.
Заключение
Как видите, Контур безопасности в Неткэте впечатляет разнообразием функций, а их настройка достаточно проста, чтобы потратить на это немного времени. И, конечно же, поддерживайте систему в актуальном состоянии, что достигается регулярными обновлениями. Обновления Неткэта выходят несколько раз в месяц, а то и в неделю и доступны всем пользователям с активной техподдержкой. Как говорится, лучше защита сайта - крепче сон.
См. также: Неткэт прошел аудит безопасности по методике OWASP Top-10
Комментарии 1
"Мы можете дать сотруднику доступ на какое-либо действие" - > Вы
"Это сделает сделает перебор паролей невозможным" - > сделает.
Когда будет разграничение прав на доступ к настройкам некоторых параметров модулей? Например для интернет-магазина очень актуально дать менеджеру права на управление скидками, стоимостью доставки, просмотр статистики, но не нужно ему давать доступ к торговым площадкам, обмену и импорту данных и тем более другим модулям, инструментам разработки сайта (компоненты, макеты дизайна, инструменты: обновление системы, командная строка SQL и пр.) и администрированию зарегистрированных пользователей сайта.