В современном онлайн-мире безопасность играет огромную роль. Особенно, когда речь заходит о сайте. Это как цифровой дом и вы ведь хотите, чтобы он был крепким и надёжным? В этом посте я собрал вместе основные пункты безопасности, которые помогут уберечь ваш сайт от различных угроз. Это настоящая комплексная защита сайта, начиная от анализа домена и хостинга и заканчивая настройкой безопасности самого сайта. Давайте вместе разберёмся, как сделать сайт максимально безопасным и защищённым.

Немного введения

Нужно вступление, чтобы всё, что я дальше опишу, было понятным и подходящим под ситуацию. Итак, есть некая организация N, у которой есть сайт. Кто отвечает за безопасность сайта? Если есть IT-специалист или целый IT-отдел, то вопросов нет. А если организация небольшая или это один человек (предприниматель, блогер и тд)? Тогда тоже вопросов нет, поскольку всё замыкается именно на этом человеке.

Но даже если есть IT-отдел, а сайт занимает важное место в работе организации, то я рекомендую директору время от времени лично проверять хотя бы часть из тех пунктов, про которые расскажу дальше. Можно просто задать вопросы тому самому IT-специалисту. Это в разы проще, чем потом, по факту, разбираться в результатах взлома.

Домен

Сперва вникнем в нюансы работы с доменом. С него и начинается защита сайта.

1) На чьё имя зарегистрирован домен?

Если организация – юридическое лицо, значит на имя организации и домен. Если владелец сайта – физлицо, то на него. Вроде всё очевидно, но часто встречаются ситуации, когда домен у организации зарегистрирован на имя разработчика, который создал сайт. А потом как-то стало не до того, и переоформление домена никто не сделал.

Риски? Ещё какие. И чем солиднее, масштабнее становится организация, тем выше становятся и риски. Самый очевидный – владелец домена может попросить немного (или много) денег за переоформление домена. А в случае отказа может просто отвязать домен от хостинга. И сайт тут же перестанет работать.

Вот вам первый вопрос – на чьё имя зарегистрирован домен вашего сайта?

2) Проверяем наличие защиты WHOIS

Что это вообще такое – поскольку у каждого домена есть владелец, то и имя у этого владельца есть. Это имя/фамилия или название организации. Именно эти данные могут быть открытыми или закрытыми. Проверить очень просто. Заходим сюда и вбиваем нужный адрес сайта.

На примере домена yandex.ru видим, что он, во-первых, занят. Из этого вытекает ещё одна полезная функция сервиса WHOIS – можно проверить, свободен ли домен в принципе и можно ли его купить. А второе, что мы тут видим, это строку “Администратор домена”. Из которой понятно, что домен принадлежит Яндексу.

Так вот, для физлица данные владельца можно скрыть. Вместо них будет написано “Private Person”. А для юрлица такого не предусмотрено, будет написано название организации, на латинице. Но это касается доменов юрлиц в зоне ru/рф. Если ваш сайт работает на другом домене (com, org), то там данные можно скрыть.

3) Кто имеет доступ к управлению доменом?

Сколько людей имеют у себя логин/пароль на вход в панель управления доменом? Один, два или больше? Кто эти люди? Им действительно нужен такой доступ? Проблема в том, что это никак не проверить. В том смысле, что нигде не видно, сколько человек имеют доступ к домену. Здесь рекомендую раз в квартал просто менять пароль на вход.

4) Настроена ли двухфакторная аутентификация?

Или можно усложнить саму процедуру входа. А именно, через дополнительный фактор защиты. Помимо логина и пароля понадобится третий ключ в виде sms-кода или пин-кода из мобильного приложения.

5) До какой даты оплачен домен?

Часто причиной “у нас сайт сломался” оказывается банальная неоплата за продление домена. Решается в течение нескольких минут. Если даже ваш сайт зарегистрирован на имя юрлица, то оплатить продление домена можно с личной карты. Это на тот случай, пока бухгалтерия будет искать реквизиты и готовить платёжку.

Поэтому этот пункт нужно просто контролировать и сроки оплаты не пропускать.

6) Проверьте срок действия SSL-сертификата

Если ваш сайт работает по защищённому протоколу HTTPS, значит есть и сертификат безопасности. А значит, у него есть срок действия. Который, в свою очередь, может истечь. И одно дело, когда ваш сертификат автоматически перевыпускается. Но совсем другое, когда это нужно делать вручную. Зачастую это выглядит как обычная процедура оплаты, как у домена выше.

При чём здесь защита сайта? Не продлите вовремя SSL – сайт перейдёт на работу по обычному протоколу HTTP и сразу же все браузеры будут на него ругаться, что “проблема безопасности, на этот сайт заходить не рекомендуется”. Оно вам надо?

Хостинг

Следующий шаг – настройки хостинга, на который тоже нужно обращать внимание.

1) На кого зарегистрирован?

Та же история, что и с доменом. Хостинг может быть записан на ваше имя/имя организации, а может быть оформлен на имя разработчика, который когда-то сделал ваш сайт. Во втором случае у вас даже доступа может туда не быть. Так что как и в случае с доменом – хостинг должен быть оформлен только на ваше имя! Ну или на саму организацию.

2) Кто имеет доступ к панели управления?

Опять те же действия, что и в случае с доменом. Вычислить поимённо этих людей невозможно, поэтому точно так же рекомендую время от времени менять пароль.

3) Настроена ли двухфакторная аутентификация?

Повторяем и здесь – для входа панель управления хостингом тоже можно и нужно подключить двухфакторную аутентификацию.

4) До какой даты оплачен хостинг?

Ещё раз закрепим – хостинг тоже нужно оплачивать. Желательно вовремя. Исключением здесь будет случай, когда у вас свой собственный сервер.

5) Настроена ли система создания резервных копий?

Проверьте, что на вашем хостинге активирована функция автоматического создания резервных копий. Когда раз в несколько дней создаётся копия файлов сайта и базы данных. Это уже не столько защита самого сайта, сколько защита ваших нервов в случае нештатной ситуации.

Помимо этого очень рекомендую не полагаться только на хостинг, а самолично озаботиться созданием резервных копий вручную. На примере WordPress – есть множество плагинов, которые этим занимаются. В чём особенность такого подхода – такая копия сохраняется у вас локально на компьютере. И в случае недоступности хостинга вы сможете восстановить сайт из этого архива. Короче, чем больше копий, тем лучше. И хранить их нужно в разных местах, на разных дисках.

Сайт

Ну и, наконец, сам сайт. Как обезопасить его и на что обратить внимание.

1) Кто имеет доступ к сайту?

Первым делом проверяем раздел пользователей сайта. А именно, нас интересуют учётные записи с правами администратора. Находим эти учётки и оцениваем каждую. Кто это? Работает ли в организации? Всех непонятных сразу сносим. И для верности точно так же меняем пароли.

Если нашли учётку с логином admin – тем более удаляем. Потому-что вы ей ещё паролем задайте password. Это очень небезопасно, то есть.

2) Настроена ли двухфакторная аутентификация?

Та же история с доступом. Добавляйте второй фактор проверки и защита у сайта усилится.

3) Сложность пароля

Касается вообще всех паролей. Включая доступы к домену и хостингу. А именно – пароль должен быть сложным. Здесь на помощь приходит менеджер паролей, в котором можно как создавать пароли, так и хранить их. Про него я писал в посте про защиту аккаунтов в соцсетях.

4) Обновлён ли сайт и его плагины?

Следующий пункт комплексной защиты сайта – регулярные обновления как самого сайта, так и его плагинов. Про плагины тоже есть отдельный пост, почитайте.

5) Установлен ли плагин безопасности?

Тоже очень важная штука. Мало его скачать и активировать, нужно правильно настроить. Рекомендую этот. Хотя подобных достаточно, выбирайте тот, что подходит вам.

6) Проведите обучение сотрудников по базовым правилам безопасности

И наконец, проверьте своих сотрудников на самые базовые, самые основные знания в области цифровой безопасности. Что не нужно нажимать всякие левые ссылки из непонятных писем, не нужно приклеивать бумажки с паролями на экран компьютера. Ну и много чего ещё.

Что в итоге

За те 10 лет, что я работаю в этой сфере, повидал много чего. Забывают продлить домен, потеряли пароль от сайта, хостинг непонятно чей и никто не знает, у кого спросить. Очень интересно.

Тема неисчерпаема, поэтому сохраните этот пост себе в закладки, перечитайте на досуге и проверьте свой сайт. Если с ним всё хорошо и у вас есть даже больше защиты, чем я описал – это прекрасно! Чего-то не хватает – берите идеи из моего списка.

А если нужна моя помощь или консультация на эту тему – пишите на yes@business-atelier.ru