Закрыть Авторизация

     

Основные виды атак на сайты

joomla-security

Сегодня мы поговорим о принципах защиты от атак на сайт, т.к. в наше время это является необходимым знанием людям, которые хотят сберечь свои ресурсы. Статью найдут для себя полезной начинающие веб-мастера и владельцы сайтов Joomla.

Кто предупреждён, тот вооружен. А первое, чем предстоит вооружиться, это знание видов атак. Давайте рассмотрим основные из них.

 

Безопасность Joomla, как бесплатной CMS.

Всем известен факт, что платформа joomla является CMS с открытым кодом. Из этого следует, что его может просматривать любой. Давайте оценим плюсы и минусы. При отправке запроса (например заполненной анкеты нового пользователя), система с закрытым кодом выдаст вам лишь результат, либо ошибку. В системе с открытым кодом произойдёт то же самое, но вы сможете увидеть и понять причину этой ошибки, т.к. для нас открыты все процессы, которые проводятся в платформе.

И снова всплывает вопрос, что же всё таки лучше. Может показаться, что система с закрытым кодом куда более безопасна. Всё не так просто. В случае, если закрытый код был написан крайне опытным программистом, проходил множество тестов, то вероятность того, что его взломают действительно ничтожна. Загвоздка в том, что такой код пишут специалисты крупных компаний (google, yandex, facebook) с высочайшим уровнем знаний и зарплатой. Легко понять, что уровень разработчика для малого и среднего бизнеса значительно ниже. Часто написание закрытого кода даже позволяет увильнуть от качественной работы, т.к. его в итоге никто не увидит. Все недочёты легко находятся автоматическими ботами, не говоря уже о хакерах.

А теперь поговорим об открытом коде. Уже на примере Joomla мы видим, что если сообщество достаточно велико, то информация обо всех недостатках системы безопасности оперативно доходит от пользователя разработчику и устраняется в кратчайшие сроки. С каждым новым обновлением платформы её качество повышается, однако остаются моменты, за которыми необходимо следить. Один из них это обновления. Смысл в следующем: если выходит обновление безопасности, значит в коде найдена уязвимая часть, если она найдена, значит теперь о ней знают и, вполне возможно, уже пользуются этим. Если обновить платформу и расширения вовремя, можно избежать любых сопутствующих неудобств и спать спокойно. Помните об этом и вам не обязательно вникать в более тонкие аспекты систем безопасности.

 

Подбор пароля.

Наиболее простым видом атаки на сайт является подбор пароля администратора методом примитивного перебора. Как это делается? Адрес админки не секрет ни для кого. Посылаем по этому адреса бота, который будет подбирать простейшие пароли к логину admin и ждём результата.

Используйте более сложные пары логин/пароль, измените адрес административной части сайта, поставьте капчу с кодом на изображениях для авторизации.

 

Социальная инженерия.

Ещё одной крупной ошибкой часто является пренебрежение к безопасности владельцем или его излишняя доверчивость. Существует свод простейших правил на этот случай:

  • не давайте пароли к сайту людям, которым не доверяете;
  • систематически меняйте пароль;
  • не обращайте внимания на спам, вводите ваши пары логин/пароль только на вашем сайте;
  • проверяйте адрес административной панели на правильность перед тем как вводить данные;
  • пользуйтесь надёжной антивирусной защитой дома и на работе;
  • не храните логин и пароль в доступных местах особенно на жёстком диске или в интернете.

Отсюда становится понятно, что в этом случае врагом является себе сам человек.

 

Специализированные атаки.

Рассмотрим пример сайта, который позволяет пользователю разместить своё объявление. Злоумышленник может поместить в текст ссылку на вредоносный скрипт. Посетитель, просматривающий объявление, пройдёт по ссылке и может заработать вирус.

Во избежание таких ситуаций, данные должны жестко фильтроваться ещё перед тем, как быть опубликованными, дабы обезопасить ваших посетителей от загрузки ненужных им данных или вирусов. Обычно такие моменты решаются на этапах разработки расширений, но рекомендуется устанавливать дополнительные расширения для Joomla, которые обеспечат вас своевременной проверкой данных и уязвимых мест в других расширениях.

 

Атаки DOS и DDOS.

Смысл таких атак - перегрузка сервера, на котором находится сайт запросами. В этом случае сервер перестаёт справляться с потоком и сайт прекращает своё вещание для рядовых пользователей. Часто DDOS атаки являются результатом борьбы конкурентов в бизнесе. От них практически не существует защиты, они дорого стоят, но и длятся в основном недолго. Чаще всего DDOS атаки ведутся с компьютеров пользователей, зараженных вирусными программами.

А порой случаются и такие ситуации: на сайт заходит посетитель, который принимает решение создать копию сайта для личного использования, находит программу, которая обещает ему сделать точную копию сайта и приводит её в действие. Как же поступает программа? Она работает как индекс боты поисковиков. Скачивает контент страницы, переходит на все возможные внутренние ссылки, с этих страниц переходит к следующим и так далее. Отсюда мы получаем подобие DOS атаки, однако запросы поступают с одного адреса. Сайт закрывает доступ к содержимому, либо ваш хостер его отключает. В рамках защиты можно попробовать посчитать количество запросов с одного IP за 5 минут и заблокировать доступ к сайту для “победителя”.

 

Слабые стороны сервера.

Нередко уязвимое место находится именно на оборудовании хостера, у которого расположен сайт. Чаще всего это случается с дешёвыми или “молодыми” хостингами, которые являются приоритетной целью хакера.

Не экономьте на хостерах, пользуйтесь услугами крупных хостинг компаний с проверенным персоналом.

 

Существуют и другие виды атак, но рассматривать их нет смысла, если ваш сайт не принадлежит к тем 5ти процентам, которые вызывают интерес у хакеров до такой степени, что они начнут взламывать его вручную.
А в случае если ваш сайт приносит ощутимый доход и конкуренты способны принимать решительные меры, вполне оправданной тратой станет наёмная компания, занимающаяся безопасностью веб сайтов.