Назовите успешную компанию без собственного сайта. Правильно, это невозможно. Не занимая определённую нишу в интернете, современный бизнес в принципе не существует для окружающих. Для одних веб-ресурс – лишь визитка, для других – главный инструмент заработка. Но и те и другие не имеют права относиться к сайту беспечно.
И лучше осознать это до встречи с хакерами, чем после. Аудит безопасности сайта для владельца любого интернет-проекта – это не прихоть или дополнительная опция, а острая необходимость, чтобы обеспечить защиту от хакеров своим активам в интернете.
Какие реальные угрозы могут подстерегать владельца сайта?
Взломщики преследуют разные цели, но так или иначе всегда добиваются одной – причиняют ущерб жертве кибератаки. И неважно, идёт ли речь о целенаправленном или о случайном взломе. Вы всегда что-то теряете: деньги, деловую репутацию, усилия, время, партнёрские отношения. Но ещё чаще терпите убытки в каждом из этих аспектов. Всё зависит от того, с каким именно типом хакеров вам не повезет столкнуться:
- Тролль. Его цели, можно сказать, бескорыстны. Он не ищет личной выгоды – исключительно развлечения: опубликовать от лица компании совершенную ахинею, выставить на главной странице похабную картинку или просто надолго «положить» сайт. И хотя взломщик не в плюсе, вы в явном минусе. Такие истории быстро не забываются.
- Робин Гуд. Окажись ваш интернет-магазин в руках онлайн-версии «благородного разбойника» – и уже вскоре увидите стремительное падение цен. Порой даже ниже себестоимости товаров. Продавать себе в убыток или спровоцировать гнев клиентов отказами – сложный выбор, который тем не менее придётся принять.
- Регулировщик. Как и полицейский на дороге, он тоже перенаправляет трафик. С той лишь разницей, что хакер работает не с машинами, а с посетителями сайта. Он уводит ваших клиентов к конкурентам, переадресовывая их заявки на другой email и удаляя из CMS данные о них. Нередко в этом случае у заказчика атаки заготовлена ещё и точная копия вашего сайта.
- Шантажист. Добытая конфиденциальная информация для самого взломщика обычно не представляет ценности. А найти на неё покупателя среди конкурентов – дело довольно хлопотное. Проще всего «продать» её вам же. Увы, плата шантажисту не даёт никаких гарантий. Он может требовать ещё и ещё, а, получив в конце концов отказ, все же опубликовать данные.
- Коллекционер. Этот тип хакеров собирает клиентские базы. Результат вашей упорной работы можно выгодно продать конкурентам, распространителям спама или другим заинтересованным лицам. Это чревато ударом по имиджу, сокращением аудитории, а в худшем случае – ещё и судебными исками от возмущённых покупателей.
Хакеры далеко не всегда обнаруживают себя сразу. Иногда они заблаговременно обеспечивают себе доступ к сайту, а «спускают курок» в крайне удобный для себя и неудобный для вас момент.
Как организовать защиту от хакеров?
Нужен аудит безопасности сайта. Тщательный и всесторонний. Его должны проводить специалисты по информационной безопасности, которые знают и умеют то же, что и опытный хакер, но используют это во благо. Чтобы не допустить кибератак злоумышленников, аудиторы по информационной безопасности действуют согласно внушительному чек-листу:
- ищут уязвимости в компонентах и веб-окружении сервера;
- исключают возможность удалённого выполнения произвольного кода и наличие «инъекций»;
- сканируют файлы и директории;
- анализируют формы поиска, регистрации и авторизации;
- проверяют элементы системы управления и сторонние модули на наличие уязвимостей;
- обнаруживают попытки обойти систему аутентификации или перехватить привилегированные аккаунты;
- исправляют ошибки публикации и удаляют конфиденциальные данные из открытого доступа;
- находят скрытые редиректы на другие ресурсы;
- отлаживают серверное ПО.
Таким образом, ваш сайт будет избавлен от всех уязвимостей, которые могли бы сыграть на руку хакерам, какие бы цели они ни преследовали. А главное, что аудит безопасности сайта всегда обходится дешевле, чем ликвидация последствий взлома.