web_

Как защитить свой сайт от взлома и для чего нужны SSL-сертификаты?

Всего на просторах интернета располагается более 1 890 000 000 сайтов, из них за 2017 год атаке подверглось 73% и это число растет. Многие задумываются, почему с ростом информационных технологий так мало внимания уделяется безопасности в интернете. Однако это не так. Каждый месяц системы управления сайтами выпускают обновления, создаются новые сертификаты шифрования для безопасной передачи данных, такие компании как Google и Яндекс строго следят за тем, чтобы пользователь имел доступ только к надежным и проверенным сайтам. Тогда откуда такие цифры?

Дело в том, что очень многое зависит от самих владельцев сайтов и именно они несут ответственность за обеспечение безопасности своего ресурса, а также своих клиентов.

Сегодня мы расскажем о том, какие существуют уязвимости, как защититься от вирусных атак и разберем, что же такое SSL-сертификат шифрования.

Перед тем как углубляться в виды уязвимостей, необходимо понять, что движет людьми, которые пытаются атаковать сайты своими вирусами. Таких людей называют хакерами (от английского слова hack – рубить, прорубать дорогу). Хакеры находят уязвимости в системах, получают доступ к внутреннему коду сайта или web-приложения и заражают его своим вредоносным кодом. Главная цель, которую преследуют злоумышленники при взломе сайтов - заработок. Способов достижения такой цели несколько. Рассмотрим некоторые из них.

Виды атак на сайт

  1. Сайт "заказали". Недобросовестные конкуренты, воспользовавшись услугами хакеров, могут взломать ваш ресурс, разместить на нем информацию, которая ухудшает репутацию компании и, в конечном счете, полностью уничтожить сайт.
  2. Размещение на вашем сайте спама и сторонних ссылок. Хакеры стараются действовать незаметно для пользователя и задержаться на сайте как можно дольше, ведь от этого будет зависеть их прибыль. Под такой способ взлома чаще всего попадают те ресурсы, владельцы которых редко проводят мониторинг своих сайтов.
  3. Для более крупных ресурсов опасность заключается в краже и последующей продаже конфиденциальных данных. К таким данным относится информация учетных записей пользователей, номера банковских карт, паспортные данные, адреса, телефоны и т.д. Хищение финансовых и бухгалтерских документов может произойти при взломе сайтов, которые синхронизированы с базами данных компании. Утечка подобной информации катастрофична для владельцев взломанного ресурса.
  4. Вымогательство денег у пользователей. Хакеры заражают слабые незащищенные сайты троянскими программами, которые могут заблокировать важные документы или даже компьютер пользователя. Затем злоумышленник требует перевода денег для разблокировки систем.

Большую популярность приобрели троянские программы, атакующие мобильные устройства. Действия таких троянов направлено на несанкционированное списание средств со счетов абонентов сотовой связи, путем маскированной отправки платных СМС.

В этом случае владелец сайта полностью утратит доверие со стороны своих пользователей.

  1. Использование взломанного сайта с целью проведения атак на другие ресурсы. В данном способе нет направленности со стороны хакера на определенный ресурс для взлома. С помощью роботов он ищет небольшие слабые сайты под размещение на них ссылок для взлома крупного ресурса. И чем больше таких сайтов, тем лучше. Такая атака называется DoS-атакой. На данный момент они наиболее популярны, так как позволяют довести до отказа почти любую систему.

Как мы видим, хакеры могут использовать множество способов для достижения своих целей и каждый из них является угрозой для владельцев сайтов.

Любой из этих способов попадает под определенную схему действий по взлому. Самый первый шаг хакера - это выявление уязвимостей сайта.

Что такое уязвимость и как не допустить ее на своем сайте?

Уязвимость сайта - это слабые места в программном коде, неправильные настройки системы управления сайта (CMS) и операционной системы web-сервера, слабые пароли, недостатки при проектировании сайта.

Для предотвращения хакерских атак необходимо понимать, какие виды уязвимостей бывают и как их не допустить на своем ресурсе.

Для сайтов, которые используют системы управления (CMS WordPress, Host.CMS, Joomla, Drupal и др.), основной причиной для атаки может быть несвоевременное обновление системы и плагинов.

Поскольку большинство используемых CMS являются проектами с открытым исходным кодом, любой желающий может сравнить текущую версию с предыдущей и узнать, какие именно уязвимости были найдены

в предыдущей версии. Если знать, как воспользоваться слабыми местами в коде, взломать сайт не составит особого труда. Поэтому взломы через такой вид уязвимостей встречается в 70% от всех случаев нападений.

Для предотвращения ненужных проблем необходимо следить за обновлениями, а еще лучше, проводить ежемесячное техническое обслуживание своего сайта.

Еще один важный вид уязвимостей – небезопасная передача данных.

Каждое действие пользователя в интернете – это обмен данными между клиентским браузером и сервером, на котором находится интернет-приложение. В основном такой обмен происходит с помощью HTTP протокола: по установленным правилам полученные данные с сервера загружаются на устройство пользователя. Однако не смотря на всю его популярность, информация, полученная в ходе действий пользователя, абсолютно ничем не защищена и передается в открытом виде.

Перед тем, как данные браузер передаст серверу, они пройдут через большое количество промежуточных пунктов. Если хотя бы один из этих пунктов находится под контролем злоумышленника, информация будет перехвачена.

Самый распространенный вид атаки при перехвате данных - это кража паролей. Мотив у хакеров заключается в получении доступа либо к административной панели сайта, либо к личному кабинету пользователя. Отсюда следует полный контроль ресурса, с помощью которого злоумышленник может нанести непоправимый вред как владельцу сайта, так и его пользователям.

В таких случаях чаще всего страдают интернет-магазины. Для покупки товара пользователю необходимо ввести персональную информацию для регистрации: пароль, адрес доставки, данные банковской карты. Используя перехваченные данные, злоумышленник может заказать себе любой товар за счет клиентов магазина или просто снять все деньги с банковской карты.

Под такой вид мошенничества ежегодно попадают 15% от всех интернет-пользователей.

Надежным решением большинства проблем, связанных с перехватом данных являются SSL-сертификаты, которые обеспечивают защищенный протокол передачи данных HTTPS. При работе данного протокола вся информация, которая передается от пользователя серверу и обратно, зашифровывается. Это своего рода гарантия безопасности для всех действий пользователя на сайте.

SSL-сертификат как надежный помощник в защите сайта

Установка сертификатов защиты - необязательная операция для всех сайтов. Исключения составляю только те сайты, которые работают с платежными системами или владеют любыми персональными данными пользователей.  Шифрование данных там должно происходить в обязательном порядке. Однако наличие сертификата позволит защититься от нежелательных взломов, угроза которых заключается в рассылке спама, размещении нежелательной рекламы и даже в окончательном удалении сайта.

За безопасностью интернета активно следит компания Google. Начиная с 2017 года Google разработал целую стратегию по защите интернет-пользователей. Начать можно с того момента, когда Google стал помечать зеленым цветом адреса тех сайтов, которые работают по HTTPS протоколу, и писать "Защищено". Тем самым показывая пользователю, что любые его действия не будут скомпрометированы на этом сайте.

Начиная с июля 2018 года сайты, на которых не установлен SSL-сертификат помечены как "Не защищено". При этом присутствует иконка с буквой "i", нажав на которую, пользователь будет информирован о том, что ресурс является небезопасным.

Начиная с октября 2018 года Google выпустит обновление браузера Google Chrome, с помощью которого будет предпринято все, чтобы обезопасить своих пользователей. Слово "Защищено" больше не будет присутствовать напротив доменного имени. Это показатель того, что все сайты по определению должны быть безопасны. Однако те ресурсы, на которых все еще не будет SSL-сертификата будут все также определятся как незащищенные, но при этом, когда пользователь начнет вводить любую информацию на таком сайте, адресная строка подсветится красным с надписью "Not secure". Пользователи, находящиеся на таких сайтах, будут предупреждены и вряд ли станут пользоваться таким ресурсом. Соответственно все эти мероприятия плохо скажутся на репутации сайта и, соответственно, упадут в поиске.

К 2019 году Google также проведет некоторые мероприятия по удалению незащищенных ресурсов из своих систем. К таким относятся Google Мой Бизнес, Google Analytics, Google Ads, Google Карты и др.

Для того, чтобы не попадать под вышеперечисленные санкции от компании Google и обеспечить бесперебойную работу сайта, лучше установить на него сертификат шифрования, который будет вызывать доверие со стороны пользователя и поднимать ваш сайт в поиске.

Как работает https?

Обеспечить сайт протоколом HTTPS можно приобретя специальный сертификат шифрования. Каждый раз, когда пользователь будет получать доступ к сайту, генерируется специальный секретный ключ и передается на сервер. После этого любая вводимая информация будет защищена таким ключом. Даже если злоумышленник попытается перехватить такие данные, то расшифровать он их все равно не сможет, так как ключ содержит более 100 знаков. Такой ключ создается заново при каждом сеансе связи.

Для полной надежности цифровой сертификат выдается еще и серверу. Так что каждый раз при установке соединения браузер проверяет подлинность сертификата, чтобы быть уверенным в безопасности самого сервера.

Как перевести сайт с HTTP на HTTPS?

Есть несколько основных шагов, с помощью которых можно перейти на безопасный протокол. Однако есть некоторые шаги, которые индивидуальны для каждого сайта и без них при настройке сертификата сайт может перестать работать, поэтому данную работу лучше доверить профессионалам.

1. Получение сертификата. Получить SSL-сертификат можно у своего хостинг провайдера за отдельную плату, однако есть и бесплатные варианты. Если ваш сервер обновлен, тариф не устарел, то, скорее всего, у вас есть возможность получить бесплатный сертификат Let’s Encrypt. Для этого необходимо связаться с технической поддержкой хостинг-провайдера для уточнения информации. Такой сертификат действует три месяца. Потом его необходимо обновить.

Если же бесплатный сертификат на вашем сайте не предусмотрен, то существует недорогой вариант RapidSSL. Однако он подойдет только для сайтов без поддоменов. Стоимость такого сертификата начинается от 36 рублей в год.

На ваш e-mail вышлют ключ сертификата, который необходимо ввести на сайте центра сертификации, который вам его выдает. После этого на почту вы получите новое письмо с самим сертификатом. Ни в коем случае не показывайте никому эти данные.

2. Перезапись внутренних ссылок. На данном этапе необходимо переадресовать сайт с HTTP на HTTPS. Все ссылки на страницы сайта придется заменить на относительные (без http:// и https://). Также предстоит работа по замене ссылок и в базе данных сайта. На данном этапе может перестать работать сайт на время, пока не завершатся все работы по настройке сертификата.

3. Настройка редиректов. Сайт будет доступен по двум протоколам http и https. Необходимо настроить переадресацию, чтобы основным протоколом остался только защищенный. Для этого необходимо исправить системный файл .htaccess.

4. Работа с индексацией. Для того, чтобы ваш обновленный адрес сайта обнаруживали поисковики, необходимо отредактировать файл robots.txt и добавить туда информацию Host https://ваш сайт.

5. Работа с зеркалами сайта. Пока поисковики Google и Яндекс считают ваш сайт зеркалом старого протокола. Для того, чтобы указать главный сайт, необходимо воспользоваться инструментами Google Search Console и Яндекс Вебмастер и провести склейку зеркал. Обработка сайта и перенос его на безопасный протокол окончательно будет завершен в течение недели.

Какой сертификат безопасности выбрать?

Если у вас небольшой сайт или сайт-каталог, и вы не являетесь владельцем крупной компании, то можно ограничится видом сертификатов Domain Validation SSL. Данный вид сертификатов подтверждает существование вашего домена как такового, но не защитит поддомены и не обезопасит проведение финансовых операций через сайт. Плюсы такого сертификата в простоте его приобретения, относительно недорогой стоимости. Заработает такой сертификат сразу после установки.

Для сайтов, которые имеют отношение к онлайн-торговле, необходима установка сертификата типа Business Validation. Надежность сайта подтверждается не только правильностью домена, но и связью этого домена с организацией. Для приобретения такого сертификата необходимо пройти валидацию, отправив центру сертификации необходимые документы о существовании компании и принять звонок на корпоративный номер.

Существует несколько видов таких сертификатов.

Extended Validation SSL – расширенный сертификат. Используется для защиты крупных систем, связанных с платежными операциями. Например, банки, крупные интернет-магазины.

Wildcard SSL – используется для защиты субдоменов и самого сайта. Например, если у сайта разные региональные привязки.

SAN SSL – поддерживает альтернативные доменные имена.

CodeSigning SSL – подходит разработчикам ИТ-решений. Проверяет программные продукты и код, расположенный на сайте.

Сертификаты типа Business Validation могут стоить несколько тысяч долларов в год и подходят в основном банкам или крупным корпорациям.
Несмотря на это экономия в таких вещах может привести к еще большим затратам, которые потребуются на восстановление сайта после взлома.

Подводя итог можно сказать, что после приобретения сайта за ним необходимо ухаживать, не допускать появления уязвимостей, проводить обновление всех систем сайта, доверить техническую поддержку профессиональным компаниям, при которой можно не беспокоиться о его взломе и заражении вирусами и, конечно же, защищать своих пользователей, установив SSL-сертификат шифрования.

Обратившись в нашу компанию, вы сможете получить полный комплекс услуг не только по защите сайта, связанных с установкой сертификата, техническим обслуживанием, но и с продвижением сайта на высокие позиции для привлечения большего количества ваших клиентов.

Поделиться