5 секретных способов усилить безопасность вашего хостинга, о которых должен знать каждый

На начальных этапах запуска онлайн-проекта на первом месте стоит разработка идеи и программного кода. Когда всё начинает стабильно работать, сайт наполняется контентом и на него приходят первые посетители. Поначалу всё идёт неплохо, и мало кто задумывается о безопасности сайта. Действительно, кому нужен нулевой, никому не известный сайт?

Всё быстро меняется, и даже «зелёные» проекты попадают в базы данных спамеров и злоумышленников. Может показаться, что для взлома ресурса нужно пристальное внимание хакера ночами напролёт. На самом деле, никто из них даже не будет знать о существовании вашего сайта, т.к. всё автоматизировано:

  • роботы-пауки краулят интернет и заносят домены в базу данных
  • роботы-сканеры анализируют технические параметры сайта и исходный код страниц для определения имени хостинга и используемый движок сайта, если вы установили популярную CMS
  • роботы-взломщики перебирают известные уязвимости для установленного ПО
  • сигнал об успехе поступает в базу данных и сортируется по убыванию значимости

Это значит, что усиливать безопасность хостинга желательно с самого начала, не говоря уже о раскрученном ресурсе. Администратор сайта в силах повлиять на два параметра: выбор хостинга и обеспечение безопасности на уровне движка (файлов) сайта. Первая проблема весьма эффективно решается при выборе хостинга, подробнее о надежных сервисах можно узнать на этом сайте. Зарекомендовавшие себя компании следят за уровнем безопасности программного обеспечения и репутацией. Всего лишь одна ошибка, одно упущение неквалифицированного системного администратора может открыть врата для хакерских атак.

Секреты безопасности хостинга

Усилия по взлому могут быть осуществлены по двум направлениям:

  • взлом панели управления хостинга
  • получение доступа к файлам или движку сайта (CMS)

Для взлома админки злоумышленнику нужно просто подобрать пароль. Допустим, пароль смогли узнать методом перебора, если он слишком простой, или взломали ваш компьютер и украли его. Также, пароль могут выудить обманным путём с помощью методов социальной инженерии или фишинга. Технология эта давняя и простая: под видом официального письма вас попросят перейти по ссылке на поддельный, но очень похожий на настоящий, сайт, и ввести пароль. В любом случае, нужно заранее отрубить пути доступа к админке, и для этого есть несколько способов.

1.     Двухфакторная аутентификация

Надёжный хостинг должен поддерживать двухфакторную авторизацию с помощью SMS или приложения Google Authenticator. Рекомендуется включить авторизацию через Google Authenticator. У этого способа есть несколько преимуществ перед SMS:

  • всегда 100% бесплатно
  • работает даже без интернета и связи в смартфоне
  • хакер не может подделать СИМ-карту и перехватить проверочный код по СМС

Для работы двойной аутентификации нужно установить официальное приложение из Google Play Market или AppStore. Чтобы добавить ключ в приложение, нужно отсканировать QR-код на сайте хостинга. Здесь есть важная деталь: обязательно сделайте скриншот QR-кода или запишите числовой код в блокнот и сохраните в надёжном месте! Он вам понадобится, если вы потеряете телефон, и нужно будет получить доступ к админке с другого телефона.

2.     Ограничение по IP-адресу

На втором шаге будем по IP-адресу ограничивать возможность входа в панель управления. Мы можем указать в настройках хостинга, что залогиниться можно с одного или нескольких айпишников. Здесь важно знать, что IP-адреса изменчивы. На вашем домашнем компьютере, 3G-смартфоне и на работе будет три разных IP-адреса. Бывают статические (постоянные) и динамические (изменяющиеся) айпишники. Обычно используется динамический адрес, если не покупался отдельно статический. Поэтому, даже из дома в разное время у вас может меняться IP-адрес.

Важно понимать какие адреса вы внесёте в ограничения, чтобы самому не остаться без доступа, когда айпи сменится. Есть два выхода из ситуации:

  • Внести диапазон адресов, если меняется только последняя цифра, например, после перезагрузки роутера
  • Входить через VPN

Второй способ более универсален, если у вас есть платный VPN со статическим IP-адресом. К слову, если ни один IP не окажется в списке допустимых, восстановить доступ можно с помощью ссылки по электронной почте.

3.     SSH-доступ

Выделенные, VPS-сервера и некоторые виртуальные хостинги позволяют подключаться к терминалу управления сервером по SSH-протоколу. Для подключения понадобится программа-терминал, одна из самых известных и поддерживаемых называется PuTTY. Для инициализации терминала нужно ввести IP-адрес сервера и порт. По умолчанию для SSH используется 22 порт, но в целях усложнения проникновения желательно изменить порт на произвольный номер (невозможно сделать на виртуальном хостинге).

В стандартном исполнении достаточно ввести логин и пароль, но для более безопасного входа принято использовать зашифрованные ключи доступа. Генерируется два ключа: открытый и закрытый:

  • открытый (PUBLIC) ключ остаётся на сервере
  • закрытый (PRIVATE) ключ хранится у вас

Обмен данным возможен, только при наличии закрытого ключа, который может быть (опционально) защищён паролем. Закрытый ключ может полностью заменить пароль, тогда в настройках OpenSSH сервера нужно отключить запрос пароля, логин будет происходить только с помощью ключа. Это даже удобно, т.к. не нужно вводить пароль, но также и накладывает специальные требования по безопасности устройства, с которого входят в терминал, и где хранится закрытый ключ. Необязательный пароль на закрытый ключ лучше установить, это будет дополнительная преграда для хакера, которому удастся скопировать ключ, ведь это всего несколько килобайт.

4.     Конфиденциальные каталоги и защита от личеров

При многопользовательской работе рекомендуется разграничивать права на доступ к каталогам. На хостингах с панелью управления cPanel присутствует одноимённая функция «Конфиденциальность каталога». Нужно выбрать папку и назначить пользователя и пароль. Существует также защита паролей на защищённые папки, называется «Защита от личеров». Нужно зайти в соответствующий раздел и заполнить форму.

Кроме защиты административной панели управления, хостинги имеют встроенные функции защиты самого сайта.

5.     ModSecurity, антивирус и SSL

Некоторые хостеры с панелью управления cPanel предлагают включить фаервол (брандмауэр) ModSecurity. Фаервол анализирует и блокирует потенциально вредоносные запросы на сайт. Это позволяет отсечь попытки несанкционированного доступа, а разработчики могут найти недостатки и уязвимости в исходном коде страниц. Если после включения ModSecurity в работе сайта наблюдаются проблемы, то лучше его отключить, но не для всего аккаунта, а для одного сайта.

В панели управления сайтом на хорошем хостинге должен быть встроенный антивирус, который сканирует скрипты в папках сайтов на уязвимости. Сканер можно запускать вручную, но лучше, если защита работает в режиме реального времени. Тогда, даже при успешном взломе сайта и закачке на него вредоносного скрипта, антивирус его быстро уничтожит.

Для защиты передаваемых через сайт данных, необходимо использовать шифрованный протокол передачи данных HTTPS вместо устаревшего HTTP. В настройках панели должен быть мастер настройки сертификатов SSL/TLS. Обычно, есть возможность подключить бесплатные сертификаты Let’s Encrypt. Они ни в чём не уступают по уровню безопасности платным сертификатам. Единственный нюанс, сертификаты Let’s Encrypt нужно обновлять каждые 3 месяца, но этот процесс автоматизирован и не требует внимания пользователя.

Понравилась статья?

В таком случае рекомендуем вам ознакомиться с другими нашими материалами:

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (1 оценок, среднее: 5,00 из 5)
Загрузка...
logo