# Опыт экспертов / Безопасность сайта и сервера

09 декабря 2024

Время чтения: 9 минут

Редакция блога ispmanager

Как защитить сайт и хостинг от кибератак — рекомендации и готовые решения для безопасности проекта

В мае 2022 года российский видеохостинг Rutube атаковала группировка Anonymous — убытки Rutube на восстановление инфраструктуры составили от 500 млн до 1 млрд ₽. Атака стала одной из самых массовых в истории России — сервис не мог восстановить работу в течение 3 дней, а на полное восстановление инфраструктуры ушло еще больше времени.

За 2024 год число кибератак в России выросло на 45%, а ущерб исчисляется миллионами рублей. В статье расскажем, какими способами мошенники чаще всего пытаются взломать систему безопасности компаний и как этого избежать. Предоставили статистику и помогли подготовить статью коллеги из интегратора в области информационной безопасности «Информзащита».

Самое важное о защите сайта и хостинга собрали в чек-лист — на случай, если некогда вникать в детали.

Чек-лист: что запомнить о защите сайта и хостинга

Не пренебрегайте информационной безопасностью, даже если у вас небольшой сайт. Крупные организации усилили методы защиты — взломать их становится сложнее. Поэтому даже маленькая компания может стать мишенью для киберпреступников.
Обучайте команду основам информационной безопасности — более 80% кибератак в России происходят из-за человеческого фактора. Нужно, чтобы сотрудники знали, как правильно реагировать на фишинг, какие пароли ставить и как их хранить, как правильно передавать информацию. Как обучать — рассказывать и и показывать на примерах, проводить тестирование не для «галочки», отправлять на повторное прохождение курса тех, кто не прошел.
Будьте аккуратнее с иностранным ПО и оборудованием — большинство западных вендоров ушли из России и их ПО не обновляется. Из-за этого вероятнее, что атака по новой тактике будет успешнее. Оптимальный вариант — использовать решения, которые регулярно обновляются и поддерживаются производителями.
Используйте менеджеры паролей и многофакторную аутентификацию для защиты доступа к учетным записям. Например, менеджеры паролей KeePass или Bitwarden, приложения для аутентификации — Google Authenticator, Multifactor, Яндекс.Ключ, Check Point.
Установите SSL-сертификат — чтобы не получить штраф за утечку данных. Для небольшого проекта достаточно бесплатного Let’s Encrypt, средним и крупным проектам лучше выбрать платные — с дополнительной защитой.
Выберите готовые решения, чтобы защитить сервер от основных видов атак — например, модули для защиты или коробочные решения. Подробнее о вариантах защиты сайта и сервера рассказали в блоге ispmanager →

Что и как чаще всего атакуют — от взлома паролей к учетным записям до уязвимостей в коде

Хакеры постоянно ищут новые цели. Например, и в финансовом секторе уровень защиты стал таким высоким, что преступники обращают внимание на другие сферы и компании — даже очень маленькая организация может стать мишенью для кибератаки.

Чаще всего хакеры атакуют:

→ Сервер — пытаются получить доступ к серверу и учетным записям или «уронить» его.

→ Уязвимости в коде и приложениях — ищут слабые места, чтобы получить доступ к данным и ПО.

→ Данные, которые передаются между пользователем и сервером — юзеры оставляют личные сведения, номера карт и другие данные, которые мошенники могут использовать.

Дальше подробно расскажем о каждой мишени и вариантах атак.

Доступ к серверу — мошенники пытаются получить несанкционированный доступ к серверу или панели управления сайтом. Цель — «уронить» сервер, взломать аккаунты и получить контроль над сервером и сайтом. По данным «Информзащита» за первые 6 месяцев 2024 года в России на 15% увеличилось число атак программами-вымогателями через инструменты удаленного доступа.

По данным «Информзащита» более 80% кибератак в России происходят из-за человеческого фактора — например, сотрудники переходят по небезопасным ссылкам от мошенников, передают пароли третьим лицам.

Какими способами мошенники пытаются получить доступ к серверу:

Брутфорс-атаки — злоумышленники просто подбирают пароли к аккаунтам, пробуют разные комбинации. Если пароль слабый, доступ к сайту можно получить быстро.
Атаки через слабые права доступа — плохо настроенные права доступа позволяют злоумышленникам выполнять действия, к которым они не должны иметь доступ.
DDoS-атаки — сайт получает множество запросов и «падает» из-за перегрузки.
Вредоносное ПО и вирусы — вирусы на сервере могут замедлить его работу, удалять файлы или блокировать доступ к важным функциям.
Фишинг — пользователей обманывают, рассылают фишинговые ссылки на поддельные страницы для ввода паролей. Так злоумышленники крадут учетные данные. По данным Центра противодействия мошенничеству «Информзащита» 80% атак начинаются именно с фишинговых писем и сообщений.

Уязвимости в коде и приложениях — злоумышленники используют слабые места в программном обеспечении сайта, например, в CMS или плагинах. Цель — внедрить вредоносный код или получить доступ к данным.

Какими способами мошенники могут находить слабые места в коде и приложениях:

SQL-инъекции — злоумышленники вводят вредоносные команды в форму на сайте и получают доступ к базе данных.
Межсайтовый скриптинг (XSS) — вредоносные скрипты внедряются в код сайта и активируются в браузерах пользователей.
Ищут уязвимости в CMS и плагинах — старые или небезопасные версии программ могут содержать ошибки, которыми легко воспользоваться.

Большинство западных вендоров ушли из России и не предоставляют обновления для ПО и оборудования. Чем реже обновляется ПО — тем выше шансы, что новые способы кибератак смогут его взломать. Рекомендуем использовать решения, которые регулярно обновляются и поддерживаются производителями.

Угрозы, связанные с передачей данных — касаются перехвата данных между пользователями и сервером. Чаще всего происходит кража данных через незашифрованные соединения — если сайт не использует HTTPS, данные передаются открыто, и их можно легко перехватить.

Возможные последствия перечисленных атак:

Штрафы за утечку конфиденциальных данных — до 15 млн ₽ для юридических лиц, для физических — до 400 тыс. ₽.
Потеря трафика — сайт может «упасть» в поисковой выдаче.
Взлом панели администратора.
Заражение сайта вирусами.

Например, Tesla часто подвергается атакам — в 2022 году 19-летний Дэвид Коломбо обнаружил уязвимость в программном обеспечении Tesla Mate, которое используется для отслеживания автомобилей Tesla. Уязвимость позволила ему получить удаленный доступ к 25 электромобилям Tesla в 13 странах — Дэвид мог открывать двери и окна, а также запускать двигатель без ключа. Позднее молодой человек сам связался с командой безопасности Tesla и разработчиками TeslaMate, чтобы сообщить об уязвимости.

8 способов как защитить сайт и хостинг, чтобы предотвратить кибератаку

Важно регулярно совершенствовать систему информационной безопасности в компании и не ждать, пока произойдет кибератака. Даже если у вас небольшой сайт или бизнес — рекомендуем использовать следующие методы защиты:

Обучать команду правилам информационной безопасности — в предыдущем разделе писали, что в большинстве случаем кибератаки происходят из-за человеческого фактора. Поэтому важно обучить сотрудников правильно работать с конфиденциальными данными и базовым правилам информационной безопасности. Например, не переходить по ссылкам из неизвестных источников, не скачивать файлы по сомнительным ссылкам.

Проводите обучения и тестируйте сотрудников не для «галочки», а проверяйте знание правил. А еще лучше показывать на реальных примерах, какие уловки используют мошенники и какие могут быть последствия.

Взлом инфраструктуры компании может начаться даже через личные аккаунты — например, мошенники могут отправлять в Telegram фишинговые ссылки под видом подписки на Telegram Premium. Если сотрудник перейдет по ссылке — мошенник получит доступ к корпоративной системе.

Как может выглядеть фишинговая ссылка:

Telegram premium подарок ссылка — Под такой «подарочной» ссылкой в Telegram может находиться вирус или вредоносное ПО

Установить SSL-сертификат — обеспечивает шифрование данных, которые передаются между пользователем и сервером, и делает их недоступными для перехвата. Сертификат шифрует пароли и номера кредитных карт и другие личные сведения, которые пользователи оставляют на сайтах.

SSL-сертификаты можно получить через хостинг-провайдера или специальные сертификационные центры. Во многих хостинговых компаниях и панелях управления есть бесплатные SSL-сертификаты — например, Let’s Encrypt.

Рекомендуем использовать бесплатный сертификат Let’s Encrypt для небольших проектов, а для коммерческих сайтов — платные SSL-сертификаты, где включена страховка на случай взлома данных. Какой SSL-сертификат выбрать и можно ли без него обойтись→

Регулярно обновлять CMS и плагины — устаревшее программное обеспечение часто содержит уязвимости, которые могут использовать злоумышленники. Современные CMS — например, WordPress, Joomla и другие, регулярно выпускают обновления, которые помогают защитить сайт от уязвимостей.

В панели управления ispmanager можно настроить автоматические обновления для CMS и плагинов. Это особенно важно для сайтов, которые работают на популярных CMS — например, на WordPress, и часто становятся мишенями для кибератак.

Защищать пароли. Простые пароли легко поддаются атакам с помощью подбора, поэтому важно использовать сложные пароли и дополнительную защиту. Записывать пароли на листочке и хранить под клавиатурой — так себе идея =)

Используйте менеджеры паролей — например, KeePass или Bitwarden. Менеджеры паролей помогут сгенерировать сложные комбинации и надежно их сохранят.

Например, в 2020 году Zoom столкнулся с проблемой так называемого «Zoombombing» — проникновения нежелательных лиц в видеоконференции. После серии инцидентов компания провела комплексные изменения для повышения безопасности — сквозное шифрование и усиленные настройки защиты конференций.

Подключить многофакторную аутентификацию (MFA) — способ защиты, при котором для аутентификации нужно подтвердить личность двумя или более способами. Например, c помощью пароля, кода из приложения и ответа на секретный вопрос. Для многофакторной аутентификации можно использовать приложения Google Authenticator, Multifactor, Яндекс.Ключ или Check Point.

Включите MFA для всех администраторов сайта. Используйте MFA в системах, где важно обеспечить максимальную защиту данных и высокая цена утечки данных.

Контролировать права доступа — давать права доступа так, чтобы пользователь мог пользоваться только теми сервисами и данными, которые нужны для его работы. В таком случае, даже если сотрудника скомпрометируют, злоумышленник получит доступ только к ограниченной части информационной инфраструктуры — ущерб будет минимальный.

В большинстве CMS можно назначить роли пользователям — например, редактор, администратор, автор. Также можно ограничить доступ по IP и географическому расположению.

Проведите аудит пользователей и присвойте каждому сотруднику только те права, которые им необходимы. Регулярно проверяйте и удаляйте доступы сотрудников, которые уже не работают с проектом.

Установить сервисы для защиты от DDoS — решения для защиты от DDoS-атак фильтруют вредоносный трафик, разгружают сервер и позволяют только разрешенным пользователям получать доступ к сайту. DDoS-защиту можно настроить с помощью готовых решений — например, модуля защиты DDoS-Guard →

Например, в 2023 году «Лаборатория Касперского» предотвратила одну из крупнейших DDoS-атак на российский финансовый сектор. Компания использовала собственные решения и смогла отразить атаку, направленную на серверы банков, обеспечила бесперебойную работу онлайн-сервисов и защиту данных клиентов.

Настроить WAF — защищает от SQL-инъекций и XSS — межсайтовых скриптов, которые могут привести к утечке данных или заражению сайта. WAF анализирует весь входящий трафик, фильтрует подозрительные запросы и блокирует их. Один из популярных WAF — ModSecurity. А еще WAF есть в составе готовых решений — например, в BitNinja. Как BitNinja защитит сайт и сервер — рассказали в блоге ispmanager →

Регулярно делать резервные копии сайта и баз данных — бэкапы помогают восстановить сайт после атак, сбоев или случайных ошибок, и могут вернуть систему в рабочее состояние. Используйте встроенные решения хостинга или внешние сервисы для автоматизации бэкапов. Например, в панели управления ispmanager можно настроить автоматические резервные копии по графику. Как сделать бэкап сайта в ispmanager →

Готовые решения для защиты сайта и хостинга от кибератак

На рынке десятки готовых решений — разберем коротко самые популярные, их функционал и стоимость.

	Как работает	Кому подходит	Стоимость
BitNinja — платформа серверной безопасности	Защищает от DDoS-атак, брутфорс-атак, SQL-инъекций и XSS-атак. Работает как многоуровневая защита на уровне сети и приложений.	Владельцам VPS и выделенных серверов, которым нужна комплексная защита без нагрузки на ресурсы сервера. Средним и крупным бизнесам, владельцам интернет-магазинов.	от 990 ₽ в месяц
Imunify360 — комплексное решение для безопасности сервера	Включает в себя антивирус, WAF, защиту от брутфорс-атак, обнаружение вторжений (IDS) и предотвращение вторжений (IPS). Подходит для защиты серверов на базе Linux.	Хостинг-провайдерам, владельцам VPS и выделенных серверов, компаниям с собственными серверами, особенно если они работают на CMS где нужна высокая степень безопасности.	От $12 в месяц
ModSecurity — популярный фаервол	Защищает от SQL-инъекций, XSS и других уязвимостей. Его можно настроить на различных веб-серверах — например, Apache, NGINX.	Опытным администраторам, хостинг-провайдерам, компаниям с собственной IT-командой, которые хотят гибкости в настройке безопасности.	Бесплатно

Еще о безопасности сайта и хостинга

Как защитить «боевой» сервер и сайт, разбираем на примере BitNinja →

Резервное копирование в Linux: инструменты и стратегия 3-2-1 →

Защита сервера в ispmanager с помощью IP2Location →

Если было полезно — подписывайтесь на наш телеграм-канал, чтобы забрать еще больше гайдов →