Безопасность вашего сайта зависит от трех вещей:

  • безопасности программной части (CMS, скриптов);
  • безопасности сервера (хостинга);
  • осведомленности и аккуратности администратора сайта или тех, кто работает с сайтом как администратор.

Если все три составляющих безопасности сайта организованы правильным образом, то сайт будет неприступным для хакеров и вирусов.

Надежность программной части

Программная часть — это система управления сайтом (CMS) или скрипты, на которых работает сайт. Надежность программной части подразумевает отсутствие уязвимостей («дыр»), позволяющих злоумышленнику получить доступ к базе данных, файловой системе или панели администратора сайта.

Чтобы в программной части не было уязвимостей, разработчики должны разрабатывать скрипты с оглядкой на безопасность, что выполняется не всегда. Правда жизни такова, что практически в каждой CMS или в скрипте существуют уязвимости. Часть из них опубликована в открытом доступе (публичные уязвимости), другая не доступна широкой аудитории и используется злоумышленниками для целевых атак на сайты. Для того чтобы программная часть сайта была надежна и неприступна, нужно уделять внимание проблеме безопасности.

Безопасность сервера (хостинга)

Вторым важным моментом, влияющим на безопасность сайта в целом, является хостинг, на котором размещается сайт. Хостинг может быть shared («общий») или dedicated («выделенный»).

Для shared-хостингов ответственность за безопасную настройку сервера лежит на администраторе хостинг-компании. Для dedicated-сервера (VDS/VPS/DDS) эта ответственность лежит на владельце сервера.

Как в случае shared-хостинга, так и в случае dedicated-сервера конфигурация должна обеспечивать минимальную свободу действий, не нарушающих работоспособность сайта. То есть на сервере должны быть разрешены только самые необходимые функции, а все остальное — запрещено. Например, если сайт не выполняет внешних подключений к другим серверам, должны быть отключены опции внешних соединений. Если сайт не использует системные вызовы (system, shell_exec, и др), эти функции необходимо отключить. Кроме того, должна быть ограничена область видимости файловой системы из скриптов и многое другое. Обо всем этом должен позаботиться системный администратор сервера.

Осведомленности и аккуратности администратора сайта

Владельцы сайта, обычно, уделяют мало внимания вопросам безопасности, предполагая, что программная часть безупречна, настройки сервера надежны и безопасны. Хотя собственная беспечность наиболее часто является причиной взлома сайтов и заражения вирусами.

Ниже приведен список операций, который должен постоянно держать в голове администратор (владелец) сайта:

  • Компьютер, с которого выполняется работа с сайтом, должен быть защищен коммерческим антивирусным программным обеспечением и регулярно им проверяться. Если с сайтом работает несколько человек, данное требование применяется к каждому.
  • Пароли от ftp/ssh/панели администратора нужно менять регулярно, хотя бы раз в месяц.
  • Не хранить пароли в программах (ftp-клиентах, браузере, электронной почте).
  • Ставить сложные пароли вида «jrfr54@FSD».
  • Работать по безопасному протоколу SFTP или SCP.

Итог

Чтобы сайт был защищен от вирусов и хакеров, нужно достаточно много внимания уделять проблеме безопасности: поддерживать программное обеспечение в актуальном состоянии, правильно настраивать хостинг и следить за доступами к сайту. Если хотя бы один из трех элементов будет слабым звеном, сайт останется уязвимым.

Команда GKS Веб-Студии при разработке сайтов уделяет много внимания безопасности вашего будущего веб-ресурса, зная, как это важно для вас.