В этом материале вы найдете разделы с базовыми методами защиты для всех типов сайтов. Мы разберем каждый метод, покажем уровни взаимодействия с пользователем и углубимся в особенности реализации защиты на стороне сервера.
Для упрощённого ознакомления с основными методами защиты сайта ниже по тексту представлены две таблицы. В них систематизированы виды атак, их цели, элементы, на которые они направлены, а также соответствующие меры защиты. Первая таблица описывает методы защиты на уровне пользователя, вторая — меры защиты на уровне инфраструктуры управления сайтом.
Базовые элементы безопасности сайта
Все нижеперечисленные методы универсальны и помогут укрепить безопасность сайта вне зависимости от его типа, языка, на котором был написан веб-ресурс или CMS. Далее в статье разберем каждый из пунктов подробнее.
Используйте защищенный протокол передачи данных HTTPS
HTTPS шифрует информацию, которую как получают, так и отправляют пользователи в сети. Это могут быть номера карт, пароли и другие чувствительные данные. HTTPS безопаснее, чем его коллега HTTP, так как использует дополнительную защиту — (протоколы TLS, SSL).
Ставьте надежные пароли и двухфакторную аутентификацию
Используйте нашу памятку, которая поможет сгенерировать сложный пароль, и не забудьте включить двухфакторную аутентификацию, чтобы снизить риск взлома аккаунтов.
Защитите код от SQL-инъекций и XSS-атак
Проверяйте и фильтруйте данные, которые вводят пользователи, разграничьте права доступа и используйте WAF, чтобы злоумышленники не смогли внедрить вредоносный код.
Обновляйте ПО
Регулярно устанавливайте обновления серверов, CMS, библиотек и плагинов.
Создавайте резервные копии
Регулярно создавайте бэкапы и храните их отдельно, чтобы быстро восстановить сайт в случае атаки или технической ошибки.
Методы защиты сайта на уровне взаимодействия с пользователем
Защита сайта начинается не только с технических решений, но и с того, как пользователи взаимодействуют с ресурсом. Грамотно выстроенные механизмы аутентификации, проверки действий и информирования посетителей помогают предотвратить большинство атак еще на уровне интерфейса.
Подключите защиту от DDoS-атак
Если у вас установлены надежные пароли и регулярно выполняются бэкапы, но при этом сайт остается недоступным для пользователей, можно сказать, что план по эффективной защите провалился. Доступность — ключевой элемент безопасности.
Отдавайте предпочтение профессиональным решениям: самостоятельные методы не всегда оптимальны как для вас, так и для ваших клиентов. В сети можно встретить советы по «блокировке подозрительных IP-адресов при возросшей нагрузке на сервер». Однако такой подход опасен высокой вероятностью ошибочно ограничить доступ и легитимным пользователям, которые после несправедливой блокировки могут больше не вернуться на ваш сайт.
Шифруйте хранимые данные
Ранее мы уже упоминали протокол HTTPS как одну из основ безопасности. Однако важно помнить, что он защищает только передачу данных, но не их хранение. Поэтому необходимы дополнительные меры. Например, можно подключить симметричное шифрование AES-256. Если же ваша организация подпадает под требования законодательства о защите персональных данных, потребуется использование TDE-шифрования. Эта технология применяется на уровне жестких дисков и баз данных. Благодаря тому, что она не влияет на работу приложений и не требует действий от пользователя, ее называют «прозрачной». При этом TDE остается одним из самых надежных методов защиты данных: информация будет зашифрована даже в случае утраты дисков, файлов или резервных копий.
Отдельное внимание следует уделить паролям. Их не всегда нужно шифровать, но необходимо хранить только в виде хешей, созданных «медленными» криптографическими алгоритмами — bcrypt, Argon2 или scrypt. Такие алгоритмы намеренно усложняют и замедляют попытки перебора, делая брутфорс-атаки практически бесполезными.
Защитите пользователей от CSRF- или XSRF-атак
Межсайтовая подделка запросов — это атака, при которой пользователь выполняет действие на сайте, не осознавая этого (злоумышленник отправляет какой-то запрос от его имени или переводит деньги с банковского счета на свой).
Чтобы защититься от подобного типа атак, нужно внедрить механизм генерации секретных токенов CSRF. После этого для каждого пользователя сайта будет создаваться уникальный токен, который добавляется на сервер в сессии пользователя. При получении запроса, сервис сравнивает полученный токен с тем, который получил пользователь с помощью генерации. Если один из них окажется некорректным — запрос на сайте не будет выполнен.
Такой подход предотвращает попытки подделки действий, даже если злоумышленник заставит браузер отправить запрос на ваш сайт.
Запретите выполнение скриптов в загружаемых файлах
Загружаемые файлы — один из популярных каналов атаки. Чтобы злоумышленник не смог внедрить и запустить вредоносный код, при наличии базовых технических знаний вы можете выполнить следующие шаги по запрету скриптов:
- Отключить на уровне сервера
В директории для загрузок отключите выполнение любых скриптов — через .htaccess (Apache) или location-директивы Nginx. - Хранить файлы вне корневой директории сайта
Тогда к ним не будет прямого веб-доступа, а выдача осуществляется безопасно — через серверную обработку. - Проверять типы и размеры файлов на клиенте и сервере
При клиентской проверке обращайте внимание на удобство, а при серверной — на безопасность. Не забывайте про магические числа — реальный формат файла по байтовой сигнатуре, а не по расширению. - Очищать метаданные
Очистка EXIF-данных предотвращает внедрение вредоносных скриптов в метаданные. Для этого можно использовать онлайн-сервисы или встроенные средства операционной системы. Рекомендуем отдавать предпочтение второму варианту, так как он более надежный и минимизирует попадание ваших данных в руки третьих лиц.
Обеспечьте безопасность для куки
Cookies хранят различную информацию о действиях пользователя, которую злоумышленники могут использовать в своих целях — идентификаторы сессии, токены доступа. Помимо этого, важно правильно настроить cookies, так как если будут некорректные параметры, есть риск потерять личные данные или перехватить сессии.
Для защиты куки разработчики придумали специальные маркеры, которые добавляются к файлам куки и помогают их защитить:
- HttpOnly блокирует доступ к cookie из JavaScript. Даже если на сайте найдется XSS-уязвимость, злоумышленник не сможет прочитать cookie.
- Secure гарантирует, что cookie отправляется только по HTTPS, защищая его от перехвата.
- SameSite используют, чтобы настроить условия, при которых браузер будет прикреплять куки к межсайтовым запросам, таким образом, параметр SameSite ограничивает риск CSRF-атак.
Эти и другие атрибуты значительно повышают безопасность аутентификации и защищают пользователей от перехвата сессии.
Внимательно управляйте жизненным циклом сессии
Правильное управление сессиями защищает пользователей, снижает угрозы и делает безопасность сайта прогнозируемой.
- Устанавливайте таймауты неактивности, чтобы пользователь не оставался авторизованным бесконечно.
- Обновляйте идентификатор сессии после входа, чтобы предотвратить фиксацию сессии (session fixation).
- Корректно уничтожайте сессии при выходе или истечении времени.
- Ограничивайте число активных сессий или мест авторизации, если это оправдано.
Используйте защиту от автоматизированных атак
Автоматизированные запросы используются злоумышленниками для рассылки спама, перебора паролей, создания фейковых аккаунтов и подготовки к DDoS-атакам. Для защиты от них используйте:
- Инструменты CAPTCHA/reCAPTCHA — для форм входа, регистрации, восстановления пароля и отправки комментариев.
Капча — неотъемлемый элемент эффективной защиты от DDoS-атак. Мы уже говорили о том, почему CAPTCHA не враг пользователю, а помощник, и как именно она работает с негативным воздействием ботов и людей.
Пользователи сервиса DDoS-Guard могут выбрать инструмент — капча DG, который мы создали специально для наших клиентов, учитывая потребности и пожелания, собранные за несколько месяцев. Мы взяли за основу знакомый всем паттерн и адаптировали его — клиенты могут самостоятельно настроить сложность капчи: сделать ее сложнее или наоборот проще, выбрать уровень искажений и длину ответа.
Кроме того, есть возможность кастомизировать дизайн: изменить верстку и стили так, чтобы защитный инструмент органично вписался в дизайн-код вашего проекта. В будущем пользователи смогут выбирать и язык задания — например, русский, если это важно для вашей аудитории.
О том, как мы создавали собственную капчу, читайте в нашем подробном разборе на Хабре.
- Настройте проверку скорости запросов (rate limiting) — чтобы ограничить число попыток входа.
- Анализируйте поведение пользователей — для этого можно использовать скоринговые инструменты, которые будут изучать, как двигается мышь, как печатает пользователь, сколько времени тратит на заполнение форм. Современные боты уже давно умеют имитировать действия человека, поэтому важно постоянно отслеживать действия на сайте.
Таблица — способы защиты по элементам сайта
| Элемент | Цели атак на сайт | Ключевые атаки на сайт | Основные способы защиты |
|---|---|---|---|
| База данных (Database) | Хранит конфиденциальную информацию (пароли, личные данные) | SQL-инъекции (SQLi), RCE (удаленное выполнение кода), Неправильные права доступа | Защита от SQL-инъекций (экранирование, параметризованные запросы), Шифрование конфиденциальных данных, Принцип наименьших привилегий |
| Формы ввода (Input Fields) | Поля для регистрации, входа, комментариев, поиска | Межсайтовый скриптинг (XSS), CSRF (подделка запросов), Спам-боты | Защита от XSS (валидация и санитизация данных), Использование CAPTCHA/reCAPTCHA, Токены CSRF |
Система управления контентом (CMS/Code)
| Ядро, плагины, темы и кастомный код сайта | Уязвимости в ПО/CMS (необновлённые компоненты), Логические ошибки, Внедрение бэкдора | Регулярное обновление ПО (CMS, плагинов), Сканирование на уязвимости (регулярный аудит кода) |
| Учётные записи пользователей/админов | Логины и пароли для доступа к личному кабинету или админ-панели | Взлом учетных записей (Брут-форс, кража паролей), Социальная инженерия | Сильные и уникальные пароли + двухфакторная аутентификация (2FA), Ограничение попыток входа, а также ротация паролей |
| Сессии пользователей (Cookies) | Временные данные для авторизации | Кража сессий, Перехват данных | Использование HTTPS / SSL-сертификата, Настройка защищённых заголовков Cookies (httpOnly, Secure). Ограниченное время жизни сессии (в какой-то момент сессия затухает, так как прошло ее время) |
| Загружаемые файлы (Uploads) | Папки для медиафайлов и документов | Загрузка вредоносных исполняемых файлов, Переполнение диска | Валидация и санитизация данных (проверка типа и размера), Безопасная файловая система (запрет выполнения скриптов в папке загрузки) |
Методы защиты сайта на уровне взаимодействия с инфраструктурой сайта
Далее перечислим несколько пунктов, которые станут основой безопасности вашего сервера.
1. Настройка веб-сервера
Начните с усиления защитных механизмов программного обеспечения, обслуживающего ваш сайт: Nginx, Apache. Стандартные настройки часто включают в себя лишние модули, которые могут выдать служебную информацию.
- Для минимизации рисков необходимо отключать неиспользуемые модули (mod_status, mod_info).
- Также важно настроить строгие заголовки безопасности: HSTS для принудительного использования HTTPS, CSP для блокировки XSS-атак и X-Content-Type-Options для предотвращения подмены MIME-типов — это HTTP-заголовок безопасности, который не дает браузеру пытаться угадать MIME-тип контента и строго следовать тому, что указано в заголовке Content-Type.
- Скройте версии ПО в заголовках ответов, и, конечно, проверьте, установили ли вы последние обновления безопасности.
Неиспользуемых модулей может быть гораздо больше, полный список подбирается специалистами индивидуально для каждого отдельного веб-ресурса.
2. Выбирайте хостера, который соблюдает стандарты безопасности
Отдавайте предпочтение тем, кто соблюдает стандарты безопасности вроде ISO 27001 и предлагает регулярное резервное копирование, а также инструменты изоляции, такие как приватные сети (VPC) и брандмауэры. Подробнее о том, как выбрать хостинг с защитой от DDoS, а также о видах хостинга, которые подойдут для вашего проекта, читайте в нашем блоге.
3. Ограничивайте права доступа
Принцип наименьших привилегий подразумевает предоставление пользователям и системным процессам только необходимого для их работы доступа. Это предотвратит эскалацию привилегий и ограничит ущерб в случае компрометации учетной записи. На уровне ОС ограничения реализуются через отдельных системных пользователей для каждого сервиса и установку минимальных прав для файлов (например, запрет на запись в корневую директорию). На уровне приложения и баз данных используйте разные роли (администратор, редактор) и выдавайте права для каждого отдельного пользователя только на конкретную базу данных.
4. Используйте сервис по защите от DDoS-атак
Как крупные, так и небольшие проекты могут стать целями для атак типа «отказ в обслуживании». Мощность DDoS-атак растет с каждым днем, и надеяться на борьбу собственными силами не будет стратегически верным решением. Используйте комплексные решения, которые специализируются на очистке и фильтрации вредоносного трафика. Современные услуги по защите от DDoS включают в себя технологию CDN, возможность ограничения запросов на уровне веб-сервера, системы мониторинга и анализа прошедших атак.
Углубиться в тему:
Как обезопасить сайт от DDoS-атак
Как предотвратить DDoS-атаку
Классификация DDoS-атак
Сколько стоит защита от DDoS-атак
5. Используйте WAF
Инструмент WAF — это гибкий фильтр, который благодаря правильной настройке сможет анализировать HTTP-трафик, защитить от атак, которые смогли обойти сетевые экраны (SQL-инъекции, XSS или CSRF). Однако важно подчеркнуть, что WAF будет эффективным только в умелых руках, так как при неверных параметрах настройки, этот инструмент может навредить: появятся ложные срабатывания, блокировка легитимного трафика или пропуск вредоносных запросов.
Самый простой и эффективный способ внедрения — облачный WAF, который разворачивается перед вашим приложением.
6. Разработайте план реагирования на инциденты
Четко прописанный план с распределением ролей и действий для критической ситуации может спасти вашу команду в случае киберинцидента. Он может минимизировать возможный ущерб и соблюсти юридические обязательства (например, по уведомлению госорганов об утечке данных). Документ должен регулярно обновляться и четко определять как роли, так и ответственность каждого сотрудника. Для удобства снабдите план чек-листами первоочередных действий: изоляция систем, смена паролей, сбор логов и так далее.
О том, как составить эффективный план реагирования, читайте в блоге.
7. Используйте сервисы по контролю уязвимостями
Чтобы обнаружить и вовремя закрыть уязвимые места в IT-инфраструктуре потребуется комплексная проверка — пентест. Однако можно использовать не менее эффективные инструменты для обнаружения фишинговых рассылок и других видов атак — онлайн-сервисы по контролю уязвимостей. Все найденные угрозы будут ранжироваться по степени критичности, а эксперты по кибербезопасности дадут четкие рекомендации по их устранению.
Сервис DDG VM соблюдает требования ФСТЭК и ФСБ к проверкам ресурсов на уязвимости и поможет вашему бизнесу оценить готовность инфраструктуры к возможному сетевому нападению.
Таблица — способы защиты инфраструктуры управления Веб-приложений
| Элемент | Цели атак на инфраструктуру | Ключевые атаки на инфраструктуру | Основные способы защиты |
|---|---|---|---|
| Веб-сервер и ОС (Apache, Nginx, Linux) | ПО, отвечающее за работу сайта и его окружение | Небезопасная настройка сервера, Уязвимости самого ПО (обновленные версии), Неправильные права доступа к системным ресурсам, конфигурационным файлам самого сервера (Apache/Nginx/ОС) или к управлению службами | Безопасная настройка веб-сервера (отключение ненужных модулей, строгие заголовки), Безопасная файловая система (правильные права chmod) |
| Сетевой трафик | Канал связи между пользователем и сервером | Перехват данных (Man-in-the-Middle), DDoS-атаки (нагрузка на канал) | Использование HTTPS / SSL-сертификата (шифрование), Защита от DDoS-атак (через специализированные сервисы) |
Хостинг / Облако
| Физические или виртуальные ресурсы, где размещен сайт | Атаки на сетевой уровень хостинга, Компрометация соседних сайтов (на общем хостинге) | Выбор надежного хостинг-провайдера, Использование Веб-приложения межсетевого экрана (WAF) |
| Файловая система / Конфигурация | Файлы на сервере (изображения, конфиги) | Несанкционированный доступ к конфигурационным файлам, Утечка информации о системе | Проверка прав доступа, Сокрытие информации о системе (маскировка версий ПО), Мониторинг и анализ логов |
| Бэкапы (Резервные копии) | Копии сайта и данных | Удаление, шифрование или кража бэкапов в случае взлома основного сервера | Резервное копирование (хранение копий на удаленном от сервера носителе), План реагирования на инциденты |
Заключение
Защита сайта — это многоуровневая система мер безопасности, которая без профессиональной помощи и экспертизы не сможет гарантировать надежный результат. Мы рекомендуем отдавать предпочтение специализированным сервисам, созданным для удобства пользователя и соответствующим современным вызовам со стороны злоумышленников. По мере роста вашего проекта вы сможете выбрать расширенный тариф и воспользоваться его возможностями, не тратя время на самостоятельное внедрение новых инструментов безопасности.
При этом не стоит пренебрегать базовыми правилами, которые легко поддерживать самостоятельно: подключайте двухфакторную аутентификацию, храните пароли корректно, регулярно обновляйте ПО. Более сложные задачи по кибербезопасности лучше доверять специалистам — так вы сможете сосредоточиться на развитии бизнеса, а не на постоянном противодействии угрозам.
