Безопасность сайта

Безопасность определяет ранжирование. Рассмотрим нюансы безопасности.

Безопасность сайта зависит от сервера на котором находится сайт и от сайта.

Сертификат безопасности сайта сайта определяет канал обмена данными между сервером и клиентом и использует шифрование. Подробнее про https в материале на MegaIndex.org — "HTTPS теперь дает дополнительные преимущества при ранжировании сайта в Google и о том, как проверить уровень безопасности сайта".

Причины взлома:

• Использование ресурсов сайта (заражение пользователей, рассылка спама, чёрная поисковая оптимизация, использование сервера для организации DDoS-атак);
• Недобросовестная конкуренция (похищение критичных данных о клиентах, понижение позиций в поиске, дискредитация).

Какие сайты подвержены рискам, связанным с безопасностью:

• Все сайты в разной мере подвержены атакам со стороны злоумышленников;
• Риск возрастает по мере увеличения стоимости активов сайта — числа пользователей, наличия критичных данных на стороне сервера (например, платёжных реквизитов и персональных данных);
• Риск возрастает преимущественно по мере использования уязвимых программных компонент и неправильной конфигурации сервера (включая слабые пароли).

Рассмотрим что делать. Для безопасности сайта следует предпринять следующий список мер по безопасности:

• Анализ логов;
• Защитить сервера от взлома;
• Защитить сайт от взлома.

Анализ логов

На сайте могут быть аномалии, например количество запросов. Проблема решается.

Используя анализатор логов найти аномалии просто. После поиска аномалий, требуется предпринять меры, например установить капчу.

Например, специализированную систему сканирования под названием Fail2Ban использовать можно бесплатно. Анализатор логов сканирует на предмет аномалий.

Ссылка на сканер — fail2ban.org.

Рекомендованное чтиво по теме — "Как посмотреть логи сервера".

Защита сервера от взлома

Безопасность сервера. На стороне севера надобно использовать специальные системы защиты, которые по умолчанию отключены. Например, очень просто подключается элемент mod_security.

Ссылка на сайт — modsecurity.org/.

Элемент является базовым. Базовая защита. Часто отключен. Модуль бесплатный.

Защита сайта от взлома

Безопасность — фактор SEO. В системе управления сайтом могут быть уязвимости.
Рекомендуется проводить мониторинг ресурса по поиск багов exploit-db.com.

На сайте собраны уязвимости компонентах на которых функционирует сервер и уязвимости систем управления сайтом, а также их компонентов.

Поиск по ссылке — exploit-db.com/search/.

Используя поиск можно найти уязвимости в используемых технологиях. Уязвимости есть и системе управления сайта и компонентах к системам управления сайтом.

Чужая реклама на сайте

На сайт можно дописать вирус или рекламу таким образом, что в документах сайтах и в коде может появится спам или реклама. На сайт может подключаться реклама из беспроводной сети.

Используя директивы Content Security Policy проблема решается.

Пример директивы на практике:

Content-Security-Policy: default-src 'self' yandex.com

Безопасность сайта — ВИДЕО

Безопасность клиентских сайтов: теория и практика

Доклад на тему безопасности

SSL

В целях безопасности передачи данных используется технология для шифрования трафика SSL.

SSL сертификат — это инструмент для безопасной передачи данных между пользователем и сайтом.

Шифрование трафика не является полной гарантией безопасности. Метод шифрования через сертификат SSL подвергается ряду брешей.

Проверить уровень безопасности сайта в плане SSL можно через специальный сервис.
Ссылка на проверку — SSL Labs