Защита интернет-магазина от взлома. Инструкция по выживанию

«Как создать интернет-магазин с нуля?» - на этот поисковый запрос вы получите десятки тысяч ответов, содержащих полезную (и не очень) информацию о секретах создания эффективного онлайн-бизнеса. Переходя от ссылки к ссылке и внимательно изучая тонны специализированного контента, вы, как и любой другой нормальный пользователь, в первую очередь отдадите предпочтение бесплатным публикациям, оставив коммерческие материалы на потом.

И дело вовсе не в вашей жадности или нежелании за что-либо платить. - Вы вообще поступаете всегда честно, каждый раз «передаете» за проезд в общественном транспорте и никогда не трясете автомат со снеками, если даже подвисший батончик шоколада готов свалиться с полки «на халяву». Дело в другом. Вы хотите инвестировать в ваши знания разумно, равно как и в ваш новый бизнес по созданию ecommerce-империи. Вы умеете считать деньги и уже на этапе сбора информации хотите получить максимальную отдачу на каждый вложенный вами рубль.

И вот, посетив десятки вебинаров и перечитав сотню другую форумов и блогов, вы чувствуете себя настоящим экспертом в области электронной коммерции. У вас готовы ответы на все ключевые вопросы начинающего интернет-предпринимателя: какую CMS выбрать для будущего интернет-магазина, как организовать прием платежей на сайте, как правильно составить карточку товара, что нужно учесть при SEO-продвижении и так далее.

Но в 99 случаях из 100 у вас не будет ответа на жизненно и «денежно» важный вопрос, актуальный для любого владельца интернет-магазина: как защитить свой веб-сайт от взлома и не лишиться прибыльного онлайн-бизнеса? Потому что в 99 случаев из 100 гуру электронной коммерции, раздающие дельные советы о том, как начать продавать в интернете, сами не осведомлены о необходимости применения техники безопасности работы в онлайн-пространстве и сами же становятся жертвами хакерских атак. Впрочем, здесь уже речь заходит о наших клиентах, чьи сайты были скомпрометированы и заражены и кому потребовалась экстренная помощь наших специалистов. А о клиентах или хорошо, или никак :-).

Главное, если на этапе создания интернет-магазина вы проигнорируете вопрос о защите и безопасности вашего коммерческого веб-сайта, то... плакала ваша ecommerce-империя горючими виртуальными слезами, отправляя все ваши надежды на будущее в черные дыры цифрового пространства. Так готовы ли вы инвестировать в суперрискованное предприятие?

Пять "беззащитных" причин

«Раз, два, три, четыре, пять - сайт не буду защищать»
«Пять, четыре, три, два, раз -
Размещу веб-шелл сейчас.
Раз, два, три , четыре, пять –
Размещу бэкдор опять».
Веселый хакер Валерий из-под Одессы

Существует пять основных причин, по которым сайты интернет-магазинов остаются без защиты, а их владельцы без прибыли, поездок на Канары, новых квартир и дорогих автомобилей.

Причина раз. Осведомленность владельцев интернет-магазинов о возможных последствиях взлома сайта, находится на крайне низком уровне - то есть угрозы в представлении интернет-предпринимателя как бы вовсе не существует. И это печально, потому последствий хакерских атак хватило бы на небольшую книжку ужасов со страшными картинками и трагическими развязками - блокировкой интернет-магазина поисковыми системами за распространение вирусов, порнографии или вредоносного ПО; ограничением доступа к сайту хостинговым провайдером за рассылку спама и фишинговых писем; хакерским шантажом с угрозой выложить рип сайта в публичный доступ. А на десерт - полным уничтожением интернет-ресурса без возможности его восстановления. И все это не события в параллельной вселенной, а вполне конкретные случаи, с которыми ежедневно сталкиваются владельцы интернет-магазинов.

Причина два. Экономия финансов на процедуру защиты сайта от взлома и вирусов. Случается и такое, что бюджет хитрым образом перемещается в любую статью затрат, но только не на укрепление обороны интернет-магазина. Но зачем выводить сайт в ТОП поисковой выдачи Яндекса, затрачивая деньги на его раскрутку, если в один прекрасный день «поисковик» может «выкинуть» вас из поисковой выдачи за распространение зловредов? И есть ли смысл инвестировать в рекламные акции для постоянных покупателей, если вы потеряете их лояльность, сразу как только с вашего магазина начнут распространяться вирусы и троянские программы?
Причина три. Недостаток времени на выполнение полного комплекса мер по лечению и защите веб-сайта. В случае с безопасностью не бывает «на половину».

• Вы лечите сайт, но не закрываете уязвимости? - Хакер вновь «поблагодарит» вас за предоставленное место для рассады вирусов и вредоносного ПО.
• Очистили только один сайт из пяти, размещенных на одном виртуальном выделенном сервере? - Все равно, что подлечили ОРЗ и вернулись в офис с гриппующими коллегами.
• А еще есть почетный клуб «рецидивистов» - адептов ордена Повторных Заражений, которые (ну ни в какую) не хотят следовать рекомендациям специалистов по информационной безопасности.

Причина четыре. Отсутствие знаний о механизмах защиты. Никто не требует от ecommerce-бизнесменов каких-то особых знаний и навыков, которые бы помогли защитить коммерческую веб-площадку. На то существуют профессиональные бойцы, специализирующиеся на информационной безопасности и отвечающие за качество и результаты оказанной услуги. Это опытные команды, которые не просто лечат сайты, но и отслеживают появление новых вирусов и следят за развитием хакерских технологий, предпринимая ответные действия.

Поэтому, основной вопрос, который должен мучать предпринимателя бессонными ночами, должен звучать не «как защитить сайт от взлома?», а «кому доверить лечение и защиту сайта?».
Не стесняйтесь обращаться сразу к профессионалам с хорошей репутацией и не тратьте время на самолечение и поиск информации на форумах, где пользователи делятся своим опытом заражения и дают некомпетентные рекомендации.

Причина пять. “Защита не бывает удобной”: приходится постоянно искать баланс между свободой действий и безопасностью сайта. Безопасность требует жертв - наверное, так. Но прежде чем отказаться от каких-то технических ограничений, которые настоятельно рекомендуются в целях защиты веб-сайта, взвесьте все «за» и «против». Согласитесь, лучше сесть на стул, у которого четыре ножки, и посмотреть фильм до конца, чем неожиданно упасть с «трехногого» кресла, рассыпать попкорн, удариться головой и провести вечер в травмпункте.

Откровение «безопасника», в котором вас сначала напугают, а потом успокоят

Плохие новости. Рынок вирусов развивается быстрее антивирусов. Сначала придумываются хакерские техники и только потом методы борьбы с ними. Зловреды и злоумышленники всегда на шаг впереди антивирусных программ и белых рыцарей, стоящих на страже вашего сайта. Поэтому сделать так, чтобы сайт был абсолютно неуязвимым и гарантировать его безопасность на 100% может только дедушка Мороз, но его не существует.

Хорошие новости. Вы можете существенно минимизировать риски и в разы уменьшить вероятность взлома и заражения интернет-магазина. Это не только и не столько технические секреты, сколько организационные меры, которым может следовать владелец большого, среднего и даже маленького онлайн-магазина. Кроме того, развиваются технологии предотвращения угроз, которые в случае своевременного внедрения, проактивно защищают ресурс и в некоторых случаях умеют даже предугадывать и блокировать хакерские атаки превентивно.

Пять правил минимизации риска взлома:

1. Вы регулярно летаете в Париж на частном вертолете? - А вот систему управления сайтом (CMS) вашего магазина нужно обновлять регулярно. Программное обеспечение разрабатывается людьми, а люди допускают ошибки и неточности. Признавая «пробелы» предыдущих версий, разработчики выпускают обновления CMS в надежде искупить свою вину. В свежих релизах устраняются ошибки и уязвимости, о которых уже знают хакеры и используют для нападений на сайты. Разработчиков нужно понять и простить, а CMS обновить до последней версии. Выполнять и то, и другое нужно регулярно и покорно.
2. «Вместе веселее» - это хорошо только для корпоративной вечеринки, но не для управления коммерческим веб-ресурсом. В случае с ecommerce-площадкой вам потребуется разграничить и ограничить административный доступ к интернет-магазину. У каждого администратора вне зависимости от его пола, возраста и политических взглядов должен быть свой аккаунт с необходимым минимальным набором привилегий. Действия администраторов должны логироваться (протоколироваться). То же самое касается и доступов по ftp/ssh к хостингу.
3. Будьте непредсказуемыми. Установите сложные пароли и регулярно меняйте их для администраторов сайта и хостинга. Менять старые пароли лучше на новые и еще более сложные, но не на деньги, оружие или наркотики.
4. Используйте безопасное подключение к сайту (SFTP вместо FTP). Разница всего лишь в одой букве, а данные передаются уже зашифрованными, снижая риск кражи пароля злоумышленниками.
5. Помните! Администраторы сайтов и контент-менеджеры должны не только регулярно пить кофе, устраивать перекуры и получать зарплату, но и проверять свои компьютеры коммерческими антивирусами, а при работе использовать антивирусные решения с регулярно обновляемыми базами.

Приготовьтесь к худшему. Оно может произойти

Будьте готовы ко взлому сайта, как пионеры к торжественной линейке. Всегда.
При большом желании, определенной настойчивости, крупной сумме денег и отсутствии каких-либо представлений о порядочности взломать можно даже хорошо защищенный веб-ресурс. Однако не стоит отчаиваться: готовность сайта к хакерской атаке и оперативное обнаружение проблемы - верные шаги на пути устранения неполадок, быстрого восстановления работоспособности сайта и вашего хорошего настроения. Поэтому:

• Организуйте постоянный мониторинг интернет-магазина. Для этого вовсе не обязательно сидеть за компьютером 24 часа в сутки, передавая вахту жене или теще, которая до сих пор думает, что вы «безобразничаете в интернете». Лучше использовать специальные программные решения для проверки работоспособности сайта - антивирусные сервисы, панели вебмастера поисковых систем. Они работают более эффективно, чем ваши домашние, при этом всегда молчат и во всем с вами согласны.
• Чтобы понять, что происходит с вашим трафиком, установите счетчики посещений: если кривая посещаемости становится похожа на «американские горки», возможно, вас взломали.
• Периодически проверяйте хостинг на наличие хакерских скриптов и вирусов. Системы онлайн-мониторинга помогут тут же обнаружить сбой в работе сайта и оперативно оповестят вас об этом. А вы, улыбаясь и попивая свежезаваренный чай, правильно отреагируете на происходящее без нервного стресса.
• Регулярно выполняйте резервное копирование сайта. Вы только представьте, что будет, если вам попадется хакер с «кривыми руками»? И вместо того, чтобы корректно внедрить мобильный редирект, который бы аккуратно перенаправлял пользователей смартфонов и планшетов на порно-сайты с вашего интернет-магазина, этот веб-мастер случайно уничтожит ваш веб-ресурс! А иногда и специально.
• Обязательно сохраняйте свежую резервную копию сайта локально, не надеясь на хостинг. Конечно же, хостер, желает вам только добра и процветания (хотя и тщательно скрывает это), но технические сбои никто не отменял. И только благодаря регулярному резервному копированию, выполняемому силами вашей команды, вы сможете оперативно восстановить работу интернет-магазина, не откладывая запланированную покупку гусеничного вездехода с апреля на август.

В бой вступает тяжелая техника

А теперь обратимся к техническим методам защиты интернет-магазина и немного расширим свое представление о работе системного администратора - да-да того самого молчаливого парня в клетчатой рубахе, на компе которого странички грузятся всегда шустрее чем у других.
Начнем с того, что техническая защита сайта - это не просто кнопка «вкл/выкл», а целый комплекс задач, которые необходимо решать на трех уровнях.

1. Защита интернет-магазина на уровне операционной системы

• Выберите надежный хостинг, опираясь на отзывы надежных друзей или надежных коллег. Воспользуйтесь услугами опытного системного администратора, еще лучше, если чисто случайно, такой окажется вашим штатным специалистом.
• Администратор должен подготовить хостинг: систему резервного копирования, настроить ротацию системных логов, обновить операционную систему, установить патчи безопасности, отключить ненужные сервисы и установить систему мониторинга за изменениями файлов на хостинге.

2. Защита интернет-магазина на уровне веб-сервера
Администратор хостинга должен выбрать безопасный веб-сервер, установить модули безопасности, настроить ротацию логов, сконфигурировать веб-среду с минимальными возможностями, но без ущерба для функциональности интернет-магазина. Это поможет защитить сайт от взлома, так как ограничит возможности несанкционированных изменений.

3. Защитите интернет-магазин на уровне CMS
Нужно закрыть панель администратора дополнительной аутентификацией, запретить изменения в системных файлах и каталогах, установить планы и модули безопасности для CMS.

Как вы понимаете, процедуру установки защиты интернет-магазина желательно поручить не зубной фее, а брутальным профессионалам, хорошо разбирающимся в вопросах информационной безопасности. "Безопасники"-практики выполнят грамотную диагностику сайта, настроят защиту и мониторинг. Одним словом, сделают все, чтобы ваши интернет-магазины (не имеет значения, крупные e-commerce площадки или небольшие веб-витрины) благополучно развивались, генерируя стабильный доход.