5 секретных способов усилить безопасность вашего хостинга, о которых должен знать каждый
На начальных этапах запуска онлайн-проекта на первом месте стоит разработка идеи и программного кода. Когда всё начинает стабильно работать, сайт наполняется контентом и на него приходят первые посетители. Поначалу всё идёт неплохо, и мало кто задумывается о безопасности сайта. Действительно, кому нужен нулевой, никому не известный сайт?
Всё быстро меняется, и даже «зелёные» проекты попадают в базы данных спамеров и злоумышленников. Может показаться, что для взлома ресурса нужно пристальное внимание хакера ночами напролёт. На самом деле, никто из них даже не будет знать о существовании вашего сайта, т.к. всё автоматизировано:
- роботы-пауки краулят интернет и заносят домены в базу данных
- роботы-сканеры анализируют технические параметры сайта и исходный код страниц для определения имени хостинга и используемый движок сайта, если вы установили популярную CMS
- роботы-взломщики перебирают известные уязвимости для установленного ПО
- сигнал об успехе поступает в базу данных и сортируется по убыванию значимости
Это значит, что усиливать безопасность хостинга желательно с самого начала, не говоря уже о раскрученном ресурсе. Администратор сайта в силах повлиять на два параметра: выбор хостинга и обеспечение безопасности на уровне движка (файлов) сайта. Первая проблема весьма эффективно решается при выборе хостинга, подробнее о надежных сервисах можно узнать на этом сайте. Зарекомендовавшие себя компании следят за уровнем безопасности программного обеспечения и репутацией. Всего лишь одна ошибка, одно упущение неквалифицированного системного администратора может открыть врата для хакерских атак.
Секреты безопасности хостинга
Усилия по взлому могут быть осуществлены по двум направлениям:
- взлом панели управления хостинга
- получение доступа к файлам или движку сайта (CMS)
Для взлома админки злоумышленнику нужно просто подобрать пароль. Допустим, пароль смогли узнать методом перебора, если он слишком простой, или взломали ваш компьютер и украли его. Также, пароль могут выудить обманным путём с помощью методов социальной инженерии или фишинга. Технология эта давняя и простая: под видом официального письма вас попросят перейти по ссылке на поддельный, но очень похожий на настоящий, сайт, и ввести пароль. В любом случае, нужно заранее отрубить пути доступа к админке, и для этого есть несколько способов.
1. Двухфакторная аутентификация
Надёжный хостинг должен поддерживать двухфакторную авторизацию с помощью SMS или приложения Google Authenticator. Рекомендуется включить авторизацию через Google Authenticator. У этого способа есть несколько преимуществ перед SMS:
- всегда 100% бесплатно
- работает даже без интернета и связи в смартфоне
- хакер не может подделать СИМ-карту и перехватить проверочный код по СМС
Для работы двойной аутентификации нужно установить официальное приложение из Google Play Market или AppStore. Чтобы добавить ключ в приложение, нужно отсканировать QR-код на сайте хостинга. Здесь есть важная деталь: обязательно сделайте скриншот QR-кода или запишите числовой код в блокнот и сохраните в надёжном месте! Он вам понадобится, если вы потеряете телефон, и нужно будет получить доступ к админке с другого телефона.
2. Ограничение по IP-адресу
На втором шаге будем по IP-адресу ограничивать возможность входа в панель управления. Мы можем указать в настройках хостинга, что залогиниться можно с одного или нескольких айпишников. Здесь важно знать, что IP-адреса изменчивы. На вашем домашнем компьютере, 3G-смартфоне и на работе будет три разных IP-адреса. Бывают статические (постоянные) и динамические (изменяющиеся) айпишники. Обычно используется динамический адрес, если не покупался отдельно статический. Поэтому, даже из дома в разное время у вас может меняться IP-адрес.
Важно понимать какие адреса вы внесёте в ограничения, чтобы самому не остаться без доступа, когда айпи сменится. Есть два выхода из ситуации:
- Внести диапазон адресов, если меняется только последняя цифра, например, после перезагрузки роутера
- Входить через VPN
Второй способ более универсален, если у вас есть платный VPN со статическим IP-адресом. К слову, если ни один IP не окажется в списке допустимых, восстановить доступ можно с помощью ссылки по электронной почте.
3. SSH-доступ
Выделенные, VPS-сервера и некоторые виртуальные хостинги позволяют подключаться к терминалу управления сервером по SSH-протоколу. Для подключения понадобится программа-терминал, одна из самых известных и поддерживаемых называется PuTTY. Для инициализации терминала нужно ввести IP-адрес сервера и порт. По умолчанию для SSH используется 22 порт, но в целях усложнения проникновения желательно изменить порт на произвольный номер (невозможно сделать на виртуальном хостинге).
В стандартном исполнении достаточно ввести логин и пароль, но для более безопасного входа принято использовать зашифрованные ключи доступа. Генерируется два ключа: открытый и закрытый:
- открытый (PUBLIC) ключ остаётся на сервере
- закрытый (PRIVATE) ключ хранится у вас
Обмен данным возможен, только при наличии закрытого ключа, который может быть (опционально) защищён паролем. Закрытый ключ может полностью заменить пароль, тогда в настройках OpenSSH сервера нужно отключить запрос пароля, логин будет происходить только с помощью ключа. Это даже удобно, т.к. не нужно вводить пароль, но также и накладывает специальные требования по безопасности устройства, с которого входят в терминал, и где хранится закрытый ключ. Необязательный пароль на закрытый ключ лучше установить, это будет дополнительная преграда для хакера, которому удастся скопировать ключ, ведь это всего несколько килобайт.
4. Конфиденциальные каталоги и защита от личеров
При многопользовательской работе рекомендуется разграничивать права на доступ к каталогам. На хостингах с панелью управления cPanel присутствует одноимённая функция «Конфиденциальность каталога». Нужно выбрать папку и назначить пользователя и пароль. Существует также защита паролей на защищённые папки, называется «Защита от личеров». Нужно зайти в соответствующий раздел и заполнить форму.
Кроме защиты административной панели управления, хостинги имеют встроенные функции защиты самого сайта.
5. ModSecurity, антивирус и SSL
Некоторые хостеры с панелью управления cPanel предлагают включить фаервол (брандмауэр) ModSecurity. Фаервол анализирует и блокирует потенциально вредоносные запросы на сайт. Это позволяет отсечь попытки несанкционированного доступа, а разработчики могут найти недостатки и уязвимости в исходном коде страниц. Если после включения ModSecurity в работе сайта наблюдаются проблемы, то лучше его отключить, но не для всего аккаунта, а для одного сайта.
В панели управления сайтом на хорошем хостинге должен быть встроенный антивирус, который сканирует скрипты в папках сайтов на уязвимости. Сканер можно запускать вручную, но лучше, если защита работает в режиме реального времени. Тогда, даже при успешном взломе сайта и закачке на него вредоносного скрипта, антивирус его быстро уничтожит.
Для защиты передаваемых через сайт данных, необходимо использовать шифрованный протокол передачи данных HTTPS вместо устаревшего HTTP. В настройках панели должен быть мастер настройки сертификатов SSL/TLS. Обычно, есть возможность подключить бесплатные сертификаты Let’s Encrypt. Они ни в чём не уступают по уровню безопасности платным сертификатам. Единственный нюанс, сертификаты Let’s Encrypt нужно обновлять каждые 3 месяца, но этот процесс автоматизирован и не требует внимания пользователя.
Понравилась статья?
В таком случае рекомендуем вам ознакомиться с другими нашими материалами: