Навіщо хакерам ваш інтернет-магазин 5 помилок власників комерційних сайтів

За даними компанії Sophos, за день в світі зламують понад 30 000 сайтів, велика частина яких належить до сфери електронної комерції - зокрема, це, наприклад, інтернет-магазини. Більшість інтернет-підприємців вважають, що їх сайти зламують з двох причин: або на замовлення конкурентів, або з подачі недоброзичливців (дійсно, іноді на форумах люди просять заради інтересу або заради помсти - наприклад, не змогли пройти онлайн-гру або річ не доставили вчасно - зламати чийсь сайт, а хакери заради спортивного інтересу або за гроші роблять це. В даному випадку замовник послуги не є конкурентом власника сайту, але з якихось міркувань намагається знищити сайт, портал або інтернет-магазин).

Навіщо хакерам ваш інтернет-магазин 5 помилок власників комерційних сайтів

Рувард представив результати п'ятого щорічного Єдиного Рейтингу агентств, що спеціалізуються на SEO та SERM послуги в області пошукового маркетингу.

У компанії з топ-100 можна звертатися за такими послугами: SEO-аудит сайтів, комплексна SEO- і SERM-стратегія бренду, створення семантичного ядра пошукових запитів, поліпшення контенту, структури і поведінкових факторів сайту, підвищення видимості проекту в пошукових системах (включаючи Google і «Яндекс»).

5 великих зломів великих компаній

Якщо ж подивитися на реальну картину зломів, то виявиться, що будь-який сайт може бути скомпрометований, незалежно від того, наскільки він відомий, скільки на нього приходить відвідувачів на добу або яка його тематика. Будь-яка сторінка представляє інтерес для зловмисника, оскільки може використовуватися не тільки як джерело отримання доходу, але і в якості майданчика для розсилки спаму, проведення DOS-атак, поширення вірусів і злому сайтів. Тому як великий інтернет-магазин, так і невеликий персональний блог може стати мішенню хакера. Більш того, іноді хакери можуть зламати відразу кілька сайтів «пачкою», і неважливо, що ці сайти з себе представляють, просто вони всі були розміщені на одному хостингу.

У групі ризику

Деякі майданчики можуть бути атаковані з більшою ймовірністю, якщо у них:

  • висока відвідуваність,
  • значні показники ІЦ (індексу цитування пошуковою системою «Яндекса») або PR (Page Rank - показник цитованості сторінок сайту в Google),
  • приваблива аудиторія;
  • СМS c відомими уразливими.

Індекс цитування та Page Rank важливі для пошукового просування. Хакери часто користуються недобросовісними методами просування за допомогою чужих сайтів (паразитують). І ті сайти, у яких показники ІЦ та PR вище, більш цікаві хакерам, тому що через них просувати сайти зручніше і ефективніше.

Також об'єктом для злому може стати сайт, реалізований на CMS з відомими уразливими. Wordpress, Joomla, dle, modx - є багато систем управління сайтами, в яких знайдено велику кількість «дірок»: існують велике число відкритих баз даних, де описані всі виявлені вразливості. Чим більше у CMS відомих вразливостей, тим вище ймовірність злому.

Сафонов Лука, технічний директор компанії PentestIT - команди професіоналів в області практичної інформаційної безпеки:

До хуліганських зломів відносяться різного роду дефейси (заміна сторінок сайту або їх вмісту на інші, зазвичай з гаслами або лайками, іноді з жартами). Дефейси зазвичай оперативно фіксуються власником сайту. Останнім часом такого роду атаки найчастіше проводяться в зв'язку з якимись політичними подіями, або пов'язані з хактівізмом (рух Anonymous).

розповсюджені помилки

Як правило, проблеми із захистом вирішуються вже за фактом злому, коли доступ до сайту заблокований антивірусом або хостингом. Чому мало хто відноситься до інформаційної безпеки серйозно? Спілкуючись з власниками комерційних ресурсів, ми з'ясували, що існують типові помилки, які заважають усвідомити важливість безпеки і захисту сайтів.

1. Кому я потрібен

Власник сайту вважає, що атаки можуть бути тільки цільові і тільки на замовлення. Якщо немає підступних конкурентів або інтернет-бізнес ще не досить розвинений, то турбуватися про злом сайту не варто.

Насправді: більшість сайтів зламуються за певними вибірках з пошукових систем, каталогів, рейтингів. Тому будь-який сайт може «потрапити під роздачу», і до цього потрібно готуватися заздалегідь.

Як свідчить закон Мерфі, якщо якась неприємність може трапитися, вона обов'язково відбудеться. Не варто сподіватися на власне везіння, особливо якщо у вас комерційний сервіс або інтернет-магазин. Втрати від злому сайту зазвичай в рази більше, ніж витрати на превентивний захист від злому і регулярний моніторинг.

2. Захист сайту - турбота хостера

Насправді: основне завдання хостинг-компанії - надання майданчика для розміщення сайтів і її технічний супровід. Звичайно, час від часу хостер може проводити профілактичні перевірки сайтів, розміщених на майданчику, на наявність шкідливого коду, але захистом від злому він не займається. Тому в даному питанні слід покладатися тільки на себе. До речі, при зломі хостер також в більшості випадків не буде займатися лікуванням сайту і захистом від злому. У разі виявлення спам-розсилки, вірусів або хакерських скриптів хостер просто блокує сайт або можливість відправки пошти.

3. У мене СMS від серйозної компанії

4. Прибуток важливіше. Краще я інвестую в SEO

5. Мій програміст впорається

Насправді: щоб захистити сайти від злому потрібно думати як хакер, знати, як цей злом здійснюється і як йому грамотно протидіяти. Недостатньо бути просто технічно підкованим, вміти програмувати і працювати з CMS, щоб захистити сайт від злому. Вирішення питань безпеки і захисту слід довірити фахівцям, які мають не тільки теоретичні знання, а й практичний досвід саме в області інформаційної безпеки і захисту сайтів.

Як підвищити безпеку сайту

1. Виконайте діагностику сайту для оцінки рівня захищеності.

Питання для контролю: вразливий чи мій сайт до злому, чи є на сайті хакерські скрипти, шкідливий код?

2. Проведіть ряд попереджувальних заходів щодо захисту сайту від злому.

Питання для контролю: Як захищений мій сайт від злому? Вироблена політика безпеки при роботі з сайтом? Чи всі адміністратори і менеджери сайту обізнані про техніку безпеки при роботі з сайтом?

3. Організуйте регулярний моніторинг сайту для оперативного виявлення проблем.

Питання для контролю: Як виконується моніторинг? Що перевіряється? Як швидко буде виявлений злом?

4. Складіть план реагування на інциденти.

Питання для контролю: Хто за що відповідає на сайті? Хто і що повинен робити, якщо сайт зламають?

Джерело картинки на тізері: Lera Blog