В современном онлайн-мире безопасность играет огромную роль. Особенно, когда речь заходит о сайте. Это как цифровой дом и вы ведь хотите, чтобы он был крепким и надёжным? В этом посте я собрал вместе основные пункты безопасности, которые помогут уберечь ваш сайт от различных угроз. Это настоящая комплексная защита сайта, начиная от анализа домена и хостинга и заканчивая настройкой безопасности самого сайта. Давайте вместе разберёмся, как сделать сайт максимально безопасным и защищённым.
Немного введения
Нужно вступление, чтобы всё, что я дальше опишу, было понятным и подходящим под ситуацию. Итак, есть некая организация N, у которой есть сайт. Кто отвечает за безопасность сайта? Если есть IT-специалист или целый IT-отдел, то вопросов нет. А если организация небольшая или это один человек (предприниматель, блогер и тд)? Тогда тоже вопросов нет, поскольку всё замыкается именно на этом человеке.
Но даже если есть IT-отдел, а сайт занимает важное место в работе организации, то я рекомендую директору время от времени лично проверять хотя бы часть из тех пунктов, про которые расскажу дальше. Можно просто задать вопросы тому самому IT-специалисту. Это в разы проще, чем потом, по факту, разбираться в результатах взлома.
Домен
Сперва вникнем в нюансы работы с доменом. С него и начинается защита сайта.
1) На чьё имя зарегистрирован домен?
Если организация – юридическое лицо, значит на имя организации и домен. Если владелец сайта – физлицо, то на него. Вроде всё очевидно, но часто встречаются ситуации, когда домен у организации зарегистрирован на имя разработчика, который создал сайт. А потом как-то стало не до того, и переоформление домена никто не сделал.
Риски? Ещё какие. И чем солиднее, масштабнее становится организация, тем выше становятся и риски. Самый очевидный – владелец домена может попросить немного (или много) денег за переоформление домена. А в случае отказа может просто отвязать домен от хостинга. И сайт тут же перестанет работать.
Вот вам первый вопрос – на чьё имя зарегистрирован домен вашего сайта?
2) Проверяем наличие защиты WHOIS
Что это вообще такое – поскольку у каждого домена есть владелец, то и имя у этого владельца есть. Это имя/фамилия или название организации. Именно эти данные могут быть открытыми или закрытыми. Проверить очень просто. Заходим сюда и вбиваем нужный адрес сайта.
На примере домена yandex.ru видим, что он, во-первых, занят. Из этого вытекает ещё одна полезная функция сервиса WHOIS – можно проверить, свободен ли домен в принципе и можно ли его купить. А второе, что мы тут видим, это строку “Администратор домена”. Из которой понятно, что домен принадлежит Яндексу.
Так вот, для физлица данные владельца можно скрыть. Вместо них будет написано “Private Person”. А для юрлица такого не предусмотрено, будет написано название организации, на латинице. Но это касается доменов юрлиц в зоне ru/рф. Если ваш сайт работает на другом домене (com, org), то там данные можно скрыть.
3) Кто имеет доступ к управлению доменом?
Сколько людей имеют у себя логин/пароль на вход в панель управления доменом? Один, два или больше? Кто эти люди? Им действительно нужен такой доступ? Проблема в том, что это никак не проверить. В том смысле, что нигде не видно, сколько человек имеют доступ к домену. Здесь рекомендую раз в квартал просто менять пароль на вход.
4) Настроена ли двухфакторная аутентификация?
Или можно усложнить саму процедуру входа. А именно, через дополнительный фактор защиты. Помимо логина и пароля понадобится третий ключ в виде sms-кода или пин-кода из мобильного приложения.
5) До какой даты оплачен домен?
Часто причиной “у нас сайт сломался” оказывается банальная неоплата за продление домена. Решается в течение нескольких минут. Если даже ваш сайт зарегистрирован на имя юрлица, то оплатить продление домена можно с личной карты. Это на тот случай, пока бухгалтерия будет искать реквизиты и готовить платёжку.
Поэтому этот пункт нужно просто контролировать и сроки оплаты не пропускать.
6) Проверьте срок действия SSL-сертификата
Если ваш сайт работает по защищённому протоколу HTTPS, значит есть и сертификат безопасности. А значит, у него есть срок действия. Который, в свою очередь, может истечь. И одно дело, когда ваш сертификат автоматически перевыпускается. Но совсем другое, когда это нужно делать вручную. Зачастую это выглядит как обычная процедура оплаты, как у домена выше.
При чём здесь защита сайта? Не продлите вовремя SSL – сайт перейдёт на работу по обычному протоколу HTTP и сразу же все браузеры будут на него ругаться, что “проблема безопасности, на этот сайт заходить не рекомендуется”. Оно вам надо?
Хостинг
Следующий шаг – настройки хостинга, на который тоже нужно обращать внимание.
1) На кого зарегистрирован?
Та же история, что и с доменом. Хостинг может быть записан на ваше имя/имя организации, а может быть оформлен на имя разработчика, который когда-то сделал ваш сайт. Во втором случае у вас даже доступа может туда не быть. Так что как и в случае с доменом – хостинг должен быть оформлен только на ваше имя! Ну или на саму организацию.
2) Кто имеет доступ к панели управления?
Опять те же действия, что и в случае с доменом. Вычислить поимённо этих людей невозможно, поэтому точно так же рекомендую время от времени менять пароль.
3) Настроена ли двухфакторная аутентификация?
Повторяем и здесь – для входа панель управления хостингом тоже можно и нужно подключить двухфакторную аутентификацию.
4) До какой даты оплачен хостинг?
Ещё раз закрепим – хостинг тоже нужно оплачивать. Желательно вовремя. Исключением здесь будет случай, когда у вас свой собственный сервер.
5) Настроена ли система создания резервных копий?
Проверьте, что на вашем хостинге активирована функция автоматического создания резервных копий. Когда раз в несколько дней создаётся копия файлов сайта и базы данных. Это уже не столько защита самого сайта, сколько защита ваших нервов в случае нештатной ситуации.
Помимо этого очень рекомендую не полагаться только на хостинг, а самолично озаботиться созданием резервных копий вручную. На примере WordPress – есть множество плагинов, которые этим занимаются. В чём особенность такого подхода – такая копия сохраняется у вас локально на компьютере. И в случае недоступности хостинга вы сможете восстановить сайт из этого архива. Короче, чем больше копий, тем лучше. И хранить их нужно в разных местах, на разных дисках.
Сайт
Ну и, наконец, сам сайт. Как обезопасить его и на что обратить внимание.
1) Кто имеет доступ к сайту?
Первым делом проверяем раздел пользователей сайта. А именно, нас интересуют учётные записи с правами администратора. Находим эти учётки и оцениваем каждую. Кто это? Работает ли в организации? Всех непонятных сразу сносим. И для верности точно так же меняем пароли.
Если нашли учётку с логином admin – тем более удаляем. Потому-что вы ей ещё паролем задайте password. Это очень небезопасно, то есть.
2) Настроена ли двухфакторная аутентификация?
Та же история с доступом. Добавляйте второй фактор проверки и защита у сайта усилится.
3) Сложность пароля
Касается вообще всех паролей. Включая доступы к домену и хостингу. А именно – пароль должен быть сложным. Здесь на помощь приходит менеджер паролей, в котором можно как создавать пароли, так и хранить их. Про него я писал в посте про защиту аккаунтов в соцсетях.
4) Обновлён ли сайт и его плагины?
Следующий пункт комплексной защиты сайта – регулярные обновления как самого сайта, так и его плагинов. Про плагины тоже есть отдельный пост, почитайте.
5) Установлен ли плагин безопасности?
Тоже очень важная штука. Мало его скачать и активировать, нужно правильно настроить. Рекомендую этот. Хотя подобных достаточно, выбирайте тот, что подходит вам.
6) Проведите обучение сотрудников по базовым правилам безопасности
И наконец, проверьте своих сотрудников на самые базовые, самые основные знания в области цифровой безопасности. Что не нужно нажимать всякие левые ссылки из непонятных писем, не нужно приклеивать бумажки с паролями на экран компьютера. Ну и много чего ещё.
Что в итоге
За те 10 лет, что я работаю в этой сфере, повидал много чего. Забывают продлить домен, потеряли пароль от сайта, хостинг непонятно чей и никто не знает, у кого спросить. Очень интересно.
Тема неисчерпаема, поэтому сохраните этот пост себе в закладки, перечитайте на досуге и проверьте свой сайт. Если с ним всё хорошо и у вас есть даже больше защиты, чем я описал – это прекрасно! Чего-то не хватает – берите идеи из моего списка.
А если нужна моя помощь или консультация на эту тему – пишите на yes@business-atelier.ru