СПРАВОЧНЫЙ ЦЕНТР

Безопасность — одна из важнейших составляющих успешного интернет-проекта. В этой главе мы поговорим о самых важных критериях и расскажем о ключевых параметрах.

О важности безопасности

В современном мире обеспечение безопасности стало одной из главных задач администратора интернет-проекта. Угрозы могут исходить не только от хакеров, но и от конкурентов или даже незнакомых людей, стремящихся навредить вам ради развлечения.

Как только ваш сайт появляется в интернете, он становится объектом интереса различных программ, которые сканируют сайты на наличие уязвимостей. И если таковые будут обнаружены, происходит взлом.

Основы безопасности

Наиболее популярной считается виртуальный хостинг (shared hosting) — когда на одном физическом сервере размещено множество клиентов. Это позволяет оптимизировать мощности сервера и сохранить доступные цены для пользователей. При таком устройстве хостинга важен высокий уровень безопасности для каждого клиента: изоляция файлов друг от друга, антивирусная защита, резервное копирование.

Для безопасности данных предусмотрено несколько возможностей — стандартная защита от DDoS-атак, интеграция с DDoS Guard, CloudFlare, установка антивируса. Но сначала рассмотрим самые главные критерии надёжности для провайдера.

Дата-центры

Любая информационная безопасность начинается с физической защиты. Серверы хостинга находятся в охраняемых дата-центрах. Физический доступ к ним есть только у сотрудников. Кроме того, ЦОДы защищены от отключения питания и отказа оборудования, имеют специальные системы вентиляции и пожаротушения. Все важные узлы резервируются: если вышел из строя один, его заменит дублёр.

Изоляция услуг хостинга и сайтов

На одном сервере может быть расположено множество услуг, которые заказали разные клиенты. Каждая их этих услуг имеет доступ только к своим файлам, обеспечиваемый механизмом распределения прав, который предоставляет операционная система Linux.

Каждый файл и директорию в Linux можно настроить на чтение и запись. Доступ отдельно настраивается для:

• владельца файла;
• групп пользователей, в которые входит владелец;
• всех остальных.

Для каждого клиента на сервере создан отдельный пользователь операционной системы. Права доступа настроены так, что ни заглянуть в чужие файлы, ни записать туда ничего не получится.

Процессы пользователей, в том числе и обработчики PHP, изолированы — каждый может управлять только своими процессами. Использование memcached, который доступен на VIP-тарифах хостинга, безопасно — для каждого пользователя выделен свой экземпляр и используется отдельный порт.

SSL

SSL-сертификат (Secure Sockets Layer) необходим для работы протокола HTTPS. Благодаря сертификату обмен данными между клиентом и сервером шифруется. Также SSL подтверждает подлинность сайта, к которому подключается пользователь. И сегодня это обязательный элемент каждого современного ресурса.

Вы можете заказать и установить SSL-сертификат понравившегося удостоверяющего центра, в том числе бесплатный от Let’s Encrypt, установка и обновление которого доступны в панели управления хостингом.

О паролях

При регистрации аккаунтов часто используют пароли, которые можно легко запомнить. Обычно это которкий набор букв или цифр, включающий, например, имя и дату рождения. Такие пароли являются крайне неэффективными и легко взламываются с помощью брутфорса.

Брутфорс (brute-force), или атака полным перебором, — это метод взлома, при котором подбираются разные варианты логинов, паролей и ключей шифрования. Смысл этой атаки в том, чтобы перебрать все возможные варианты, пока один из них не окажется верным. Цель — войти в систему или получить доступ к защищённым данным.

Взлом осуществляют не только методом перебора символов. Атака по словарю происходит значительно быстрее, но она не сработает, если пароля в словаре нет. Поэтому лучший способ защититься от брутфорса — использовать надёжные пароли.

Помимо сложных паролей защитить себя от брутфорса можно следующими способами:

• Использовать разные пароли для разных сервисов. Единожды взломанный пароль перестаёт быть безопасным, каким бы сложным он ни был. Чтобы не забывать, можно использовать менеджер паролей в браузере.
• Регулярно менять пароли. Вы не можете знать, в какой момент ваш пароль мог быть скомпрометирован.
• Использовать двухфакторную аутентификацию. Тогда для входа в аккаунт одного пароля будет недостаточно — понадобится дополнительное подтверждение личности, например, с помощью SMS или биометрии.

На хостинге Рамева пароли для прикладных служб генерируются автоматически и содержат специальные символы, цифры и буквы разного регистра. Такие пароли являются устойчивыми к подбору.

Антивирусная защита

В коде сайта, как и в любом программном коде, могут быть уязвимости, через которые может быть осуществлен взлом и заражение вредоносным кодом. Важно вовремя заметить заражение и принять меры. Для этих целей используется антивирус.

На всех тарифах виртуального хостинга используется решение от Virusdie. Сканирование файлов пользователя проходит ежедневно, а если найдено вредоносное ПО — пользователь получит уведомление об этом с рекомендациями по дальнейшим действиям.

Кроме проверки и уведомления, антивирус может удалять вредоносный код из файлов и восстанавливать повреждённые участки. Несмотря на возможности антивируса, возникают ситуации, когда файлы вылечить нельзя. В этом случае потребуется восстановление сайта из резервной копии.

Google Safe Browsing

Дополнительно к антивирусной защите осуществляется мониторинг заблокированных сайтов в Google Safe Browsing. Данная система позволяет находить вредоносные веб-ресурсы и показывать предупреждения в результатах поиска или в браузере, чтобы защитить пользователей.

Если сайт клиента попадет в список небезопасных сайтов Google Safe Browsing, на контактный email придёт сообщение с рекомендациями по устранению проблемы.

Резервное копирование

На shared-хостинге работает автоматическое резервное копирование. Бэкапы хранятся на отдельных серверах, которые не зависят от серверов хостинга. В копии сохраняются все файлы сайтов и базы данных. Каждая резервная копия создаётся в начале суток по московскому времени. Таким образом, сохраняются все изменения за прошедший день.

Пользователь может восстановить сайт из бэкапа или скачать архив на свой компьютер. Каждая резервная копия хранится в течение 30 дней, а затем безвозвратно удаляется.

О DDoS-атаках

Один из самых распространенных видов атак на сайт — DDoS (Distributed Denial of Service attack, атака типа «отказ в обслуживании») — это атака, которая создает чрезмерную нагрузку на сервер одновременными запросами и приводит к отказу обслуживания сервиса.

Для осуществления такой атаки не нужно взламывать сайт. Злоумышленники взламывают компьютеры и другие ресурсы пользователей, создавая из них DDOS-кластеры, и направляют огромное количество запросов из них, забивая Интернет-канал и истощая ресурсы хостинга. Как результат — неработающий или работающий с перебоями сайт.

Почему происходят DDoS-атаки? Помимо личной неприязни, мести и политических мотивов причинами DDoS-атак могут быть:

• Конкуренция. Некоторые DDoS-атаки проводятся по заказу. Не попадая на желаемый сайт, клиент уходит на доступный сайт конкурента, а администратор пострадавшего ресурса теряет деньги.
• Мошенничество. Часть атак проводится с целью вымогательства. Хакеры блокируют работу онлайн-проекта и шантажируют его владельца — требуют какую-то сумму за разблокировку сайта.
• Развлечение. Все больше человек интересуются атаками — начинающие злоумышленники пробуют свои силы в этом.

Какие бывают DDoS-атаки

DDoS-атака может производиться как на низком, так и на высоком уровне модели OSI. Низкоуровневая DDoS-атака проходит на сетевом и транспортном уровне (третьем и четвертом). Для этого вида атак злоумышленник использует несовершенства сетевых протоколов.

Высокоуровневая DDoS-атака проходит на сеансовом и прикладном уровнях (пятом и седьмом). Чаще всего такие атаки похожи на большое количество обращений от пользователей, поэтому защиту необходимо подключать отдельно для каждого сайта. DDoS могут быть направлены на полосу пропускания, системные ресурсы или программный код.

Рассмотрим первый вид атак — насыщение полосы пропускания, или по другому «Сетевой флуд» — атака с отправкой огромного количества запросов к системам. Полоса пропускания забивается, и система перестает работать.

HTTP-флуд — атакующий посылает небольшие http-пакеты, которые заставляют сервер отвечать пакетами с большим размером. В итоге полоса пропускания насыщается и происходит отказ в работе сервисов.

ICMP-флуд — злоумышленник отправляет поддельный ICMP-пакет, в котором его адрес изменяется на адрес атакуемого. В результате сервер перегружается служебными командами.

SYN-флуд — на сервер отправляется множество SYN-запросов на TCP-соединение. В ответ сервер должен отправить ACK-пакет, чтобы соединение установилось. Но ответы уходят на поддельные адреса, и канал забивается, поэтому происходит отказ на попытку соединения.

UDP-флуд — атакующий отправляет UDP-запросы с измененными IP-адресами, которые в итоге забивают полосу пропускания сервера.

Следующий вид атак — исчерпание системных ресурсов. Такие атаки направлены на ресурсы хостинга — оперативную память, процессор, место на диске.

Отправка «тяжелых пакетов» — злоумышленник отправляет пакеты серверу, которые не насыщают полосу пропускания, а тратят все его процессорное время. В системе происходит сбой — пользователи не могут получить доступ к сайту.

Переполнение сервера лог-файлами — при неправильной настройке системы на сервере злоумышленник может воспользоваться этим и отправлять пакеты большого размера, которые займут все свободное место на диске.

Атаки второго рода приводят к ложным срабатываниям систем защиты, как следствие — к недоступности определенных ресурсов.

Даже если сервер корректно настроен, это не гарантирует бесперебойную работу сайта. Опытные организаторы DDoS-атак пишут программы-эксплоиты для атаки сложных систем. Они ищут ошибки в программном коде и заставляют их обрабатывать те ситуации, которые они обрабатывать не умеют. Это приводит к падению системы.

Профессиональная защита от DDoS-атак

Безопасность сайтов — приоритет для нашей команды. На всех тарифах подключена профессиональная защита от DDoS-атак. Сайты надежно защищены от всех известных атак на уровнях L3–L5 OSI. DDoS-атаки на сервер невозможно заметить: онлайн-проекты доступны 24/7. Если вам требуется защита более высокого уровня, можем подключить вам специальный защищенный канал.

Простые правила безопасности

Компания Рамева прилагает усилия, чтобы обезасить сайты наших клиентов. Но если вы сами не соблюдаете базовые правила безопасности, эффективность защиты снижается. Это как пристегнуть ремни в машине: без этого просто не получится обезопасить себя во время поездки. Поэтому можно выделить несколько простых правил, соблюдая которые вы максимально обезопасите свой сайт от взлома, а себя — от потери данных.

Используйте корректные права на директории и файлы сайтов: стандартные права «644» для файлов и «755» для директорий. Их достаточно для корректной работы скриптов сайта. Не используйте права «777». Такие атрибуты — потенциальная уязвимость, они дают широкие возможности для вредоносного ПО.

Всегда используйте последнюю версию CMS, темы и плагинов. Своевременно устанавливайте обновления — в них разработчики закрывают уязвимости, что увеличивает безопасность сайта.

Плагины и темы нужно устанавливать только из официальных источников. Часто во «взломанных» версиях встречаются вредоносные вставки.

Используйте SSL-сертификат для сайта и настройте перенаправление всех HTTP-запросов на HTTPS.

Регулярно проверяйте пароли в базе скомпрометированных. Если ваш пароль есть в базе, срочно смените его.

Пользуйтесь антивирусным программным обеспечением на локальном компьютере и регулярно обновляйте антивирусные базы.

Используйте только актуальные версии браузеров.

По возможности, вместо FTP используйте протокол SFTP. Постарайтесь полностью отказаться от FTP в будущем.

Не храните пароли в FTP-клиентах. Очень часто вирусы берут информацию из FTP-клиента. Эта информация потом может быть использована для взлома сайта.