Взлом сайта - это не всегда работа профессиональных хакеров, нацеленных именно на вас. Чаще это автоматические программы, которые перебирают тысячи сайтов и находят те, где есть известная уязвимость или слабый пароль. Поэтому под угрозой даже небольшой бизнес.
Хорошая новость в том, что большинство атак отражаются базовыми мерами. Они не требуют глубоких технических знаний, но их нужно выполнять регулярно, а не один раз при запуске сайта.
Своевременно обновляйте сайт
Если сайт работает на WordPress или другой системе управления, устаревшие версии движка и плагинов - самая частая дыра. Разработчики выпускают обновления, в том числе чтобы закрыть найденные уязвимости. Пока вы их не установили, сайт остаётся открытым.
- Обновляйте сам движок, плагины и темы по мере выхода версий
- Удаляйте плагины и темы, которыми не пользуетесь
- Не ставьте дополнения из непроверенных источников
Используйте надёжные пароли
Слабый пароль администратора - подарок для автоматических атак. Простые комбинации перебираются за минуты. Это касается не только входа в админку сайта, но и доступа к хостингу и базе данных.
- Пароль не короче 12 символов, с буквами, цифрами и знаками
- Свой уникальный пароль для каждого сервиса
- Менеджер паролей вместо записей в блокноте или браузере
- Двухфакторная аутентификация там, где она доступна
- Откажитесь от логина admin - он первым попадает под перебор
Делайте резервные копии
Резервная копия не предотвращает взлом, но позволяет быстро восстановить сайт, если что-то случилось. Без бэкапа восстановление превращается в долгий и дорогой процесс, а часть данных можно потерять навсегда.
- Настройте автоматическое создание копий по расписанию
- Храните копии отдельно от самого сайта - не на том же сервере
- Периодически проверяйте, что из копии действительно можно развернуть сайт
Базовая инфраструктурная защита
Кроме обновлений и паролей есть меры на уровне сервера и подключения, которые заметно снижают риски и почти не требуют внимания после настройки.
- SSL-сертификат и работа сайта по HTTPS
- Файрвол или сервис фильтрации вредоносного трафика
- Ограничение числа попыток входа в админку
- Минимум прав доступа для каждого сотрудника
Защита - это процесс
Безопасность сайта не настраивается раз и навсегда. Это регулярные обновления, контроль копий и внимание к доступам. В Enternet мы берём эту рутину на обслуживание, чтобы владелец бизнеса не держал её в голове и не вспоминал о ней только после инцидента.