Безопасность или зона ответственности

Задумываетесь ли вы о безопасности вашего сайта, проводите ли аудит безопасности, обновляете скрипты при выходе заплаток безопасности?
Если вы столкнулись с тем, что очередным утром проснувшись, вы увидели что ваш сайт взломан,
то возможно некоторые советы помогут вам этого избежать.

Самый первый вопрос, имеете ли вы в своем штате системного администратора?
Если вы уже решили сделать сайт своей компании, то наверняка системный администратор вам пригодится, или компания подрядчик, которая возьмет на себя обязанность по ведение вашего сайта и решению вопросов с провайдером. Ведь как часто бывает, что клиент звоня провайдеру по тому или иному вопросу, даже не может его правильно поставить, а когда ему приводят наводящие вопросы, тут уж совсем он заходит в тупик. Вопрос скорее наверное в компьютерной грамотности.
Иногда даже бывают моменты, когда начальство даже понятия не имеет, какую работу должен выполнять системный администратор. Тут же приходит навязчивый вопрос в голову, а за что вы платите своему администратору деньги? Но пропустим это, так как это совсем другая история для другого поста.

А знаете ли вы на чем написан ваш сайт? Возможно это бесплатная CMS, а это означает, что исходный код доступен всем и найти уязвимость в этом случае гораздо проще, нежели это коммерческая CMS с закрытым кодом. В прочем не всегда это и плохо, просто немного нужно быть внимательней и следить за выходом критических патчей безопасности. Ведь самое первое что придет в голову хакеру – это определить на чем написан ваш сайт, а потом уже пойти на сайт разработчика и посмотреть, какие последние уязвимости известны в этом скрипте. Поэтому держать всегда актуальную версию своей CMS это правильно. Никто кроме вас это не сделает и провайдер просто напросто может закрыть ваш сайт, пока вы не разберетесь с его безопасностью.
Вот почему полезно держать в штате системного администратора, который собственно и будет этим заниматься.

Разработчик студент. Иногда в погоне за счастьем, компании выбирают для разработки своего сайта студента-однодневку, ведь это дешевле. Но в этом случае вы также можете столкнутся с последствиями такого выбора и в итоге заплатить вдвое больше за переделку сайта, а еще хуже переписывания его заново. Никто так хорошо не знает код вашего сайта, как разработчик и в случае появления уязвимости в вашем сайте, помочь ее закрыть сможет этот самый разработчик.
А коммуникация вашего разработчика с вашим системным администратором это уже слаженная команда, которая общается на понятном только им языке и вам при этом не придется разбираться с такими терминами как заплатка, переменная, xss и тому подобное.

Последствия взлома вашего сайта. Последствия могут быть разными. Если ваш сайт это источник вашего дохода, то вы понимаете что приостановка его работы даже на 1 рабочий день это ваши убытки. Поэтому лучше этого дня не ждать. Взлом вашего сайта, может также приводить и к другим последствиям, например рассылка спама с вашего сайта, вследствие чего вам блокируют возможность отправки почты или же распространения вируса, который был помещен в код вашего сайта.

Сколько человек имеют доступ к фтп вашего сайта? А насколько их ПК защищены? Мы всегда рекомендуем клиентам использовать коммерческие продукты антивирусов, что снижает риск заражения ПК вирусами и утери паролей от вашего сайта. Допустим вы дали разработчику доступ к фтп, а у него установлен то ли краденный антивирус, без обновления баз или вообще никакого.
Сайт он делает, размещает, показывает вам результат, получает деньги и пропадает. Вот вы счастливый обладатель своего сайта, но через каких то месяца два, вы обнаруживаете, что сайт пропал, кому вы в первую очередь позвоните? А ведь как ведет себя вирус, заражая ПК он ищет довольно известные файлы настроек популярных программ, где зачастую пароли хранятся в открытом виде, после сбора паролей, через некоторое время, другие зараженные ПК (боты) начинают идти на ваш сайт с этим самым паролем, который вы и передали разработчику, и как часто это бывает, модифицируют все индексные файлы вашего сайта, вставляя очередной вирусный код и ваши посетители сайтов, которые не имеют антивирусной защиты, становятся такими же распространителями, получается такая себе карусель на вылет.

Подведем небольшой итог, что же нужно делать?
1. Всегда обновляйте критические уязвимости вашего скрипта, предоставленные разработчиками.
2. Старайтесь обращаться к разработчикам сайтов, которые смогут вам помочь в дальнейшем сопровождении сайта.
3. Держать в штате системного администратора это не модно, это правильно и нужно.
4. Пользуйтесь защитой вашего ПК: лицензионное программное обеспечение, антивирусы, брандмауеры (firewall).
5. Старайтесь избегать передачи паролей третьим лицам (например разработчики), а если и передаете, то после выполнения задачи, меняйте их на другие.
6. Никогда не переходите сразу по не известным вам ссылкам, которые вам присылают ваши знакомые по icq, skype или другие мессенджеры, лучше переспросите что по той ссылке, ведь это тоже может быть вирус.