Логотип

Безопасность наших сайтов

Безопасность

Безопасность является одним из ключевых параметров, по которому пользователи и поисковые системы оценивают ваш сайт. Если проблемы со скоростью, стабильностью, и неудобствами работы на сайте посетители еще как-то могут терпеть, то вот взломанный сайт они вам скорее всего не простят, и будут впредь обходить его стороной, дабы не подвергать опасности свои устройства.

Поисковые системы, по крайней мере Google, также анализируют наличие вредоносных скриптов на сайтах, и в случае обнаружения исключают страницы из поиска. На сегодняшний день наиболее распространенным вариантом таких скриптов являются разнообразные майнеры (от англ. mine — добывать). Данный тип скриптов использует ресурсы пользовательского устройства для добычи криптовалюты пока вкладка с сайтом открыта в браузере. Для пользователя визуально это может никак не проявляться, то есть он и не будет подозревать, что ваш сайт взломан. Только сайт будет казаться для него очень медленным и неудобным.

Характер и объем кибератак

Современный интернет устроен так, что даже небольшой сайт с низким уровнем трафика подвергается десяткам кибератак ежедневно. Злоумышленники используют автоматические сканеры уязвимостей, отправляя множество запросов на ваш сайт в поисках слабого, уязвимого места. При этом количество кибератак обычно растет прямо пропорционально популярности сайта.

К сожалению, вы не увидите этой статистики в популярных инструментах аналитики, таких как Яндекс Метрика, или Google Analytics. Также вы не увидите этой статистики в инструментах вебмастера, таких как Яндекс Вебмастер или Google Search Console. Для доступа к этим данным необходим анализ на уровне лог-файлов веб-сервера и работа со специализированными инструментами, и это не всегда возможно при использовании виртуальных хостингов или подобных платформ. Но поверьте, если вы все же сможете заглянуть в логи веб-сервера, вы удивитесь огромному количеству и разноообразию подозрительных запросов на всевозможные несуществующие файлы на вашем сервере, что является ничем иным, как попыткой взломать ваш сайт.

Наиболее уязвимыми сегодня считаются сайты, построенные на базе разнообразных CMS. Мы не будем перечислять конкретные CMS, их очень много. Обычно чем сложнее и навороченнее CMS — тем более она "дырявая". Для каждой CMS можно найти список общеизвестных уязвимостей — этим и пользуются злоумышленники. Если администратор сайта не обновляет регулярно CMS, то в какой-то момент она может стать уязвимой для атак. Либо наоборот, уязвимость становится доступной после обновления на свежую версию CMS. Чаще даже проблема безопасности возникает не в самой CMS, а в каком-либо плагине, установленном в ней.

Меры улучшения безопасности

Один из способов противостоять атакам в современном вебе - использование WAF (web application firewall). По сути это некий аналог традиционных файрволов, которые устанавливаются на операционные системы. Но в данном случае файрвол анализирует весь входящий трафик веб-сервера и для каждого запроса принимает решение - пропустить запрос дальше, или отклонить его как потенциально опасный. Проблема с WAF в том, что во-первых он замедляет работу сайта, поскольку появляется дополнительный слой обработки для каждого запроса, будь то страница или просто статический файл. Во-вторых, WAF не гарантирует 100% защиты, поскольку он может не знать про некоторые свежие уязвимости, либо может работать в асинхронном режиме и пропускать некоторые запросы, даже если он знает, что они потенциально опасны. Ну и в конце концов, не всегда есть возможность подключить WAF к вашему сайту, или может потребовать значительных финансовых затрат.

Другим, более надежным и правильным способом провивостоять кибератакам, является минимизация поверхности атаки (attack surface), т.е максимальное снижение количества потенциально возможных векторов атаки и точек входа в систему. Например, вместо сложной и навороченной CMS делается выбор в пользу простого и надежного файлового сервера. Для динамических данных используются микросервисы со строго определенным набором методов и ограниченным доступом. Таким образом безопасность закладывается на уровне выбора технологического стека и подхода к разработке.

Мы уделяем особое внимание безопасности, и она закладывается в наши сайты на уровне архитектурных решений.

В большинстве случаев мы используем статические сайты, которые размещаются на обычных файловых веб-серверах. Таким образом наши статические сайты полностью защищены от всех распространенных видов внешних хакерских атак (XSS, SQL injection, CSRF), а DDos-атаки трудноосуществимы, либо просто экономически нецелесообразны.

Безопасная разработка и сборка

При сборке сайта перед публикацией мы уделяем особое внимание контролю зависимостей для предотвращения внедрения вредоносных скриптов в код сайта на данном этапе, поскольку уязвимости в пакетах зависимостей становятся все более распространенным явлением в наши дни.

Мы также предъявляем повышенные требования безопасности непосредственно к самим окружениям, в которых происходит разработка и сборка, чтобы исключить утечки чувствительных данных, либо, опять таки, избежать попадания нежелательных скриптов в код сайта.

HTTPS / SSL

Для всех сайтов, размещаемых на обслуживание в нашей студии, мы бесплатно подключаем авто-обновляемый SSL-сертификат, чтобы ваш сайт мог по умолчанию работать по защищенному HTTPS-протоколу. На сегодняшний день это является стандартом и всячески поощряется браузерами и поисковыми системами.

Напишите нам прямо сейчас, чтобы заказать разработку безопасного, быстрого и удобного сайта.