№13 (15-09-2015). Как проверить устойчивость сайта к взлому и DDoS-атакам

Чем дольше живет программа, тем больше багов, дырок и уязвимостей в ней находят хакеры. Причем программы, на базе которых работает интернет, взломщикам наиболее интересны: это веб-серверы, системы управления базами данных, веб-фреймворки, библиотеки и так далее. Самые страшные уязвимости — это так называемые «уязвимости нулевого дня». Это способы взломать программу, которые становятся общеизвестными до того, как разработчики закрывают проблему с помощью обновления своего софта. Часто, кстати, «хакеры в белых шляпах» (white hat hackers), сражающиеся на стороне добра, не публикуют способ взлома, а отсылают его разработчикам программы — и получают за это денежное вознаграждение. Но есть и «черные хакеры», которые не берут деньги от разработчиков, а публикуют сведения об уязвимости в даркнете — или же пользуются дыркой сами, в гордом одиночестве. 

Самое печальное, что этот устрашающий рассказ об «уязвимостях нулевого дня» неактуален для очень существенного процента сайтов (если не для большинства)! Для многих все уязвимости ГОДАМИ являются «нулевыми», то есть крайне опасными. Дело в том, что многие сайтовладельцы даже и не думают об обновлениях. Хорошо, что хостеры вовремя обновляют операционные системы и софт на виртуальных хостингах, но часто они могут обновить далеко не все компоненты, на которых крутится ваш сайт.

Как бесплатно проверить сайт?
О беззащитности сайтов можно рассказывать долго. Но вам гораздо полезнее будет сразу перейти к делу: отправиться на https://detectify.com/ и проверить свой сайт на устойчивость к взлому. Этим сервисом очень удобно пользоваться, потому что он позволяет авторизовать домен через счетчик Google Analytics. Доступны и более традиционные способы — например, разместить метатег с уникальным кодом или файл в с тем же кодом в корневом каталоге вашего сайта (как при авторизации в Яндекс.Вебмастере). Но авторизация через Google Analytics удобнее — если у вас есть доступ к своему счетчику, то больше ничего делать не потребуется. 


Все отмеченные красным ошибки нужно исправить. Желтые тоже стоит показать специалистам, но с гораздо менее высоким приоритетом. Стоит отметить, что на скриншоте результат проверки сайта из буквально двух-трех страниц. На более крупных проектах ошибок будет намного больше.

Пара слов о DDoS
Как недавно стало известно, нанятый МВД подрядчик, Центральный научно-исследовательский институт экономики, информатики и систем управления (ЦНИИ ЭИСУ), хочет отказаться от контракта на взлом сети для анонимизации Tor. И даже мечтает выплатить МВД неустойку в размере 10 млн рублей. Проще говоря, анонимность в сети существует. Доступными даже пятикласснику инструкциями по настройке Tor забит весь интернет. С помощью Tor и некоторой вводной информации, которую также очень просто нагуглить, можно попасть в даркнет (он же Deep Web) — то есть зайти на анонимные скрытые сайты, где продаются и покупаются самые разнообразные незаконные товары и услуги. 


В числе таких услуг — недорогие, но способные вырубить ваш сайт DDoS-атаки. Принцип DDoS-атаки довольно прост: хакер активирует свой ботнет (то есть зараженные вирусом компьютеры, владельцы которых ничего об этом не подозревают), и эти десятки и сотни тысяч машин начинают ломиться на ваш сайт. Ваш сервер, конечно, не выдерживает такого внимания и падает — или просто перестает отвечать на запросы обычных живых посетителей. Вы теряете деньги, а ваш конкурент, заказавший атаку в даркнете, дьявольски хохочет. 

Впрочем, если сейчас сайт ложится под DDoS-напором, то это исключительно от неинформированности владельца, поскольку решения есть. С небольшими атаками может справиться и ваш админ, но проще (особенно если админа у вас нет) и надежнее воспользоваться услугами специальных сервисов. Упрощенно говоря, они ставят между вашим сайтом и атакой фильтр, через который не проходят подозрительные запросы, а обычные живые пользователи, тем не менее, легко попадают на сайт. Один из мировых лидеров такой защиты — Cloudflare. Если вам важен русскоязычный сервис, то можно обратиться одному из российских лидеров — Qrator. Есть подобные решения и в арсенале Kaspersky Lab. Конечно, таких компаний и сервисов очень много, так что пока атака на ваш сайт не началась, вы можете спокойно поискать в Яндексе и Google подрядчика, который вам понравится больше всех. Но иметь такой адрес в закладках весьма и весьма полезно.

Вывод
Проверьте свой сайт на уязвимости, устраните их, выберите подрядчика для защиты от DDoS-атаки на черный день — и, конечно, делайте ежедневные бэкапы своего сайта. И храните их на другом сервере.

Версия для печати

Вернуться ко всем статьям