Top.Mail.Ru
Статьи
Способы защиты

Рекомендации по безопасности сайтов структур ФНПР

Способы защиты

Изображение: pixabay.com

Центральная профсоюзная газета "Солидарность" публикует Рекомендации по безопасности сайтов структур Федерации независимых профсоюзов России, подготовленные Департаментом по связям с общественностью, молодежной политике и развитию профсоюзного движения аппарата ФНПР.

ОСНОВНЫЕ СПОСОБЫ ЗАЩИТЫ САЙТОВ ОТ АТАК

Атаки на сайты производятся как целенаправленно, так и с помощью бот-сетей автоматизированно. Как правило, каждая атака имеет свою стоимость. И если автоматизированные атаки при всей своей массовости эффективны, от них можно достаточно легко оградиться, соблюдая несколько простых правил. В случае целенаправленной атаки целесообразнее потерять контроль над сайтом и восстановить его заново, чем сражаться за его работоспособность, расходуя серьезные ресурсы.

Тем не менее, если соблюдать простые рекомендации, в большинстве случаев сайты сохраняют свою работоспособность даже в сложных условиях.

Итак, что можно сделать для защиты сайтов:

• использовать надежный хостинг;

• подключить SSL-сертификат;

• обеспечить защиту от DDoS-атак;

• использовать безопасные плагины/библиотеки/фреймворки/CMS;

• применять техники защиты от SQL-инъекций и XSS-атак;

• обеспечить ведение журнала веб-
сайта и мониторинг событий безопасности;

• производить регулярное резервное копирование веб-сайта и всех важных данных;

• использовать надежные и сложные пароли, а также защиту от перебора паролей;

• необходимо изменить стандартный адрес входа и обеспечить контроль доступа к административной панели сайта.

При создании сайта, его обновлении или в процессе администрирования стоит избегать покупки или размещения сайта на серверах организации, виртуальных серверах и на самостоятельно администрируемых серверах в дата-центрах. Такое решение, безусловно, жизнеспособно, но требует высокого профессионального уровня технических специалистов и серьезных вложений.

ДОМЕННОЕ ИМЯ

Доменное имя необходимо приобретать отдельно, используя официальные ресурсы регистраторов доменов (nic-ru, ru-center.ru), регистрация доменного имени должна производиться на юридическое лицо с указанием официальных контактов организации, в том числе в качестве администратора. Такое решение позволит избежать утери данных, потери управления и кражи домена даже в случае смены администратора.

В панели управления регистратора домена проводятся настройки DNS-серверов, почтовых сервисов и другие базовые настройки доменов. Здесь же можно заказать SSL-сертификат для сайта и услуги по его запуску.

Необходимо избегать решений “все в одном”. Нельзя совмещать почтовые сервисы, сервисы и ресурсы сайта в одном личном кабинете.

ХОСТИНГ-ПРОВАЙДЕР

При выборе хостинг-провайдера необходимо обратить внимание на то, предоставляет ли провайдер услуги по защите от DDoS-атак или установлен ли кеширующий прокси - Nginx. В случае с Nginx необходимо обратить внимание на возможность настройки и настройки по умолчанию. Все возможные и предлагаемые провайдером средства безопасности должны быть включены, оплачены и настроены. Просмотр журналов безопасности должен проводиться регулярно. При увеличении числа атак или событий безопасности необходимо проводить соответствующую настройку систем безопасности. В случае оповещения провайдером о наличии опасности необходимо незамедлительно принять соответствующие меры.

Пароли к панели управления (как и все пароли, связанные с работой или администрированием сайта) должны быть максимально устойчивы к подбору, должны содержать буквы верхнего и нижнего регистров, цифры, специальные символы и иметь длину не менее 11 знаков.

Пароль администратора с полным доступом к ресурсам должен быть только у ответственного лица, находящегося в штате организации.

ФРЕЙМВОРКИ, CMS, “ДВИЖКИ” САЙТОВ

Для работы сайта, как правило, выбираются популярные системы управления. Важно понимать:

• следует избегать кустарных и “самописных” систем управления;

• следует избегать систем управления, работающих по подписке;

• следует избегать сервисов - конструкторов сайтов;

• для работы сайта можно выбирать популярные бесплатные CMS при условии соблюдения строгих правил;

• необходимо постоянно поддерживать версию системы управления сайтом в актуальном состоянии, регулярно обновлять как саму CMS, так и компоненты (плагины, модули, приложения);

• не поддерживаемые или прекратившие свою работу дополнения к системе управления необходимо заменять на актуальные;

• при самостоятельном создании модификаций на сайте нельзя применять их, отключая системы безопасности, или применять небезопасные настройки хостинга и системы управления;

• при подключении баз данных к сайтам необходимо использовать устойчивые пароли как к самими базам данных, так и к системам, с которыми они работают;

• крайне желательно устанавливать дополнительные плагины и системы, обеспечивающие безопасность системы управления сайтом.

РЕЗЕРВНОЕ КОПИРОВАНИЕ

Необходимо настроить несколько видов резервного копирования:

Регулярное (желательно еженедельное) резервное копирование средствами хостинг-провайдера всех ресурсов сайта (единый архив сайта). Такое копирование настраивается в административной панели хостинг-провайдера и происходит автоматически, сохраняясь на стороне хостинг-провайдера. Такой архив поможет восстановить работоспособность сайта в течение нескольких часов.

Регулярное копирование на компьютер администратора сайта. Перед каждым изменением, вносимым в работу сайта, администратор должен сохранить на рабочем компьютере резервную копию всех ресурсов сайта (базы данных, файлы, папки, скрипты и файлы конфигурации). Также такое копирование должно происходить ежемесячно. Такое копирование позволит восстановить сайт даже в случае необходимости переместить сайт в более безопасное пространство.

Резервное копирование баз данных. Используя инструменты администрирования баз данных, с периодичностью раз в неделю необходимо копировать базы данных сайта на специально выделенные для этого ресурсы (это могут быть как ресурсы хостинг-провайдера, так и аккаунты на облачных ресурсах). Это позволит восстановить сайт даже при массированной атаке и утрате всех возможностей для восстановления.

АДМИНИСТРИРОВАНИЕ САЙТА

При использовании любых систем управления сайтом рекомендуется изменять стандартную страницу входа в панель администрирования. На странице входа администратора необходимо использовать помимо стандартных данных (логин и пароль) системы наподобие captcha или двухфакторную аутентификацию. Следует избегать запоминания пароля менеджерами паролей на компьютерах администраторов и всех работающих с сайтом сотрудников.

Необходимо разделять учетные записи пользователей, редакторов, авторов и администраторов сайта. Если сайт “ведется” администратором, то для ежедневной работы должна использоваться учетная запись с ограниченным функционалом. Учетных записей администратора должно быть две: основная и резервная. Не допускается загружать на сайт файлы, не прошедшие проверку антивирусом, или файлы скриптов. Также в панели администратора необходимо прописать типы файлов для загрузки и их максимальный размер.

Пароли к панели управления (как и все пароли, связанные с работой или администрированием сайта) должны быть максимально устойчивы к подбору, должны содержать буквы верхнего и нижнего регистров, цифры, специальные символы и иметь длину не меньше 11 знаков.

Пароль администратора с полным доступом к ресурсам должен быть только у ответственного лица, находящегося в штате организации.

Читайте нас в Яндекс.Дзен, чтобы быть в курсе последних событий
Новости СМИ
Комментарии

Чтобы оставить комментарий войдите или зарегистрируйтесь на сайте

Для добавления комментариев вам необходимо авторизоваться


Новости СМИ2


Киномеханика