Новости
Home   >   Стартапы   >   Что делать, чтобы избежать массового взлома сайтов на мультисайтовых аккаунтах хостинга

Что делать, чтобы избежать массового взлома сайтов на мультисайтовых аккаунтах хостинга

Автор Дата 10.03.2017

В качестве кого shared-хостинг, так и VPS сервер позволяет размещать несколько сайтов внутри одного пользовательского аккаунта. Про своего удобства, а также в целях экономии средств вебмастера, веб-студии, сеть-агентства и сами владельцы бизнеса размещают не по одному и даже мало-: неграмотный по два сайта на одной площадке. Это, безусловно, более полезно, чем приобретать для каждого сайта отдельный аккаунт и проще, чем не давать покоя для каждого сайта отдельного пользователя на сервере. Но в большинстве случаев хана эти владельцы мультисайтовых аккаунтов сталкиваются с одной серьезной проблемой, имя которой – повальный взлом и заражение всего аккаунта хостинга. Иногда это десятки «пациентов» бери одной площадке, которым требуется срочное лечение от вирусов, что в итоге выливается в за глаза станет серьезные финансовые затраты.

Причина массовых взломов чаще всего кроется в неправильном размещении сайтов для хостинге, когда взлом одного сайта на аккаунте приводит по цепочке к заражению остальных. (пред)положим, один сайт на старой и уязвимой версии Joomla, WordPress, MODx, DLE и т.п. подвергает угрозе шабаш остальные сайты на аккаунте, даже если они работают на актуальных версиях CMS с обновленными плагинами.

Сверху хостингах, где техническая изоляция сайтов друг от друга отсутствует (а таких (абсолютная) и скриптами одного сайта можно вносить изменения в файлы другого, действуют особые устав безопасного размещения сайтов. Об этом и хотелось бы поговорить в данной статье.

«Скрытая угроза»

Всякий сайт вне зависимости от места его размещения можно защитить техническими средствами ото веб-атак извне или хотя бы повысить его обороноспособность напересечку внешних вторжений (если на хостинге не позволяют произвести все необходимые настройки в полном объеме). Однако технические средства защиты решают лишь часть проблем владельца мультисайтового аккаунта, получи котором отсутствует техническая изоляция сайтов друг от друга. Угроза может основываться от незащищенного сайта-соседа, то есть изнутри.

В случае с массовым взломом нужно коптеть или со всеми сайтами на аккаунте сразу (лечить все запас от вирусов и защищать от повторного взлома) или создавать новые аккаунты и чувствовать на собст на них наиболее критичные и важные для бизнеса веб-проекты, дальше чего выполнять с ними процедуру лечения. Если этого не сделать, ведь невылеченные сайты будут заново заражать ресурсы, которые только что очистили с вредоносного кода и хакерских скриптов. Процесс лечения при массовом взломе может перерости в бесконечный процесс, напоминающий вычерпывание воды из дырявой лодки.

Часто владельцы мультисайтовых аккаунтов действуют избирательно, инвестируя в защиту всего прибыльных проектов. А второстепенные сайты – блоги, тестовые площадки, старые и забытые веб-проекты остаются минуя внимания. Их-то и может атаковать хакер в первую очередь, а потом извлечь доступ к «основному активу».

В этом же списке «потенциальных угроз» и вновь созданные сайты получи и распишись хостинге. Если вы переносите или создаете новый сайт на аккаунте, идеже размещены защищенные от веб-атак сайты, не забудьте защитить нового «жильца» прежде публичного анонса, не дожидаясь «непрошенных гостей».

Многие владельцы сайтов заблуждаются про «изолированности» сайтов друг от друга. Считается, что если для каждого сайта создан особенный FTP-аккаунт, то и сайты «живут» независимой друг от друга жизнью, так есть изолированы. Однако это не так, ведь речь идет об одном и книга же пользователе операционной системы, и наличие виртуальных пользователей для работы FTP-доступов безлюдный (=малолюдный) исключает возможность взлома одного сайта через другой с помощью PHP-скриптов (в целях них в большинстве случаев не будет ограничений внутри аккаунта) или компрометации SSH-аккаунта либо основного FTP-аккаунта. Поэтому проблема остается актуальной для очень многих клиентов. Единственное, который изолирует сайты друг от друга – это возможность создания отдельных SSH-доступов в (видах каждого сайта. Используйте это как индикатор реальной «изолированности». Если во (избежание каждого сайта на хостинг-площадке нельзя организовать отдельный SSH-аккаунт, ведь сайтам угрожает массовый взлом.

Многие неопытные администраторы убеждены, что около определенных настройках PHP (например, настроив параметр open_basedir) можно ограничить свободу нате хостинге и защитить сайты от массового взлома, но это, увы, отнюдь не так. Во-первых, хакеры умеют обходить эти настройки, а во-вторых, и так (уже) PHP есть и другие возможности активировать хакерские скрипты или внедрять вредоносный шифр в файлы соседних сайтов.

Безопасность сайта = технические средства защиты + организационные распоряжения

При отсутствии технической изоляции сайтов в рамках одного аккаунта хостинга полезно создавать несколько аккаунтов и «перераспределять» сайты на них. Идеальная ситуация, рано или поздно на одном аккаунте находится один сайт, но зачастую это непозволительная шикарность – слишком велика финальная цифра на содержание отдельных «апартаментов» для каждого сайта. Получай выручку приходит второй элемент комплексной безопасности – организационные меры (напомним, инициатор важный компонент комплексной безопасности сайта – это технические средства защиты, которые настраиваются разово специалистами по части информационной безопасности сайтов).

Организационные меры включают в себя:

1) Обеспечение безопасного рабочего места, ведь есть компьютера, с которого выполняется администрирование сайта (лицензионное антивирусное ПО; обновленные поперед последней версии приложения и пр.).

2) Безопасное сетевое подключение при работе с сайтом (утилизация VPN – Virtual Private Network – при подключении к WiFi в общественных местах).

3) Инструктаж сотрудников соответственно безопасной работе с сайтом (кому и как предоставлять доступы к сайту и хостингу).

4) Контроль доступами (регулярная смена паролей; безопасная передача доступов; предоставление ограниченных прав доступа ради выполнения задач подрядчиками).

5) Работа с подрядчиками (работа по договору; проверка сайта нате предмет заражения после завершения работ на сайте третьими лицами).

6) Регулярная плановая све сайтов на предмет взлома и заражения специальными инструментами (для этой цели первоклассно подходят бесплатные сканеры типа AI-BOLIT (проверка файлов на хостинге) и ReScan.Pro)

Воплощение в жизнь организационных мер безопасности в сочетании с техническими средствами защиты всех сайтов получи и распишись площадке минимизирует риски несанкционированного вторжения хакера на аккаунт. Но, равно как показывает практика, для некоторых веб-проектов это сделать очень витиевато, а иногда и просто невозможно. Речь, прежде всего, идет о динамично развивающихся веб-проектах, с которыми тем временем работает большое число специалистов.

Согласитесь, довольно трудно проверить, стоит ли бери компьютере фрилансера, который удаленно занимается SEO вашего сайта, коммерческий антивирус; ввек ли контент-менеджер, обновляющий информацию в разделе «Публикации», использует VPN, подключаясь к WiFi в его любимой пиццерии; предоставляет ли ваш веб-мэтр FTP-доступ дизайнеру в конкретную папку с нужным сайтом, а не SSH ко всему аккаунту хостинга.

Нежели сложнее проконтролировать соблюдение организационных мер безопасности при работе с конкретным сайтом, тем в большей зоне отметка оказывается такой сайт и тем бОльшую угрозу безопасности он представляет своим «соседям» точно по хостингу.

Как уже было упомянуто выше, это касается активно развивающихся веб-проектов, посещение к которым имеет несколько специалистов. Такие веб-проекты временно (в период активного роста и развития) али на постоянной основе «заслуживают» отдельных аккаунтов, дабы не навредить «статичным» проектам, в которых изменения вносятся крайне редко.

Другая альтернатива – полностью передать такие «неудобные» сайты в специализированную компанию, которая обеспечит неотъемлемый уровень контроля выполнения технических средств защиты и соблюдения организационных мер безопасности быть работе с сайтом.

Случаи из практики

В нашей практике много случаев, рано или поздно интернет-агентства или веб-студии «попадают» на крупную сумму изо-за уязвимого сайта одного из своих клиентов или нерадивого подрядчика (фрилансера), которому делегируют определенную задачу. Ситуации типичны: агентство занимается поддержкой и продвижением клиентских сайтов, все на свете сайты находятся на одном аккаунте хостинга или сервера, на котором ни слуху технической изоляции проектов друг от друга. В один не очень великолепный день обнаруживается, что все они заражены: инвестиции в SEO и продвижение нескольких сайтов потрачены даром, так как Яндекс или Google блокируют сайты в поисковой выдаче, хостер закрывает аккаунт после рассылку спама или фишингового контента и т.п.

Что в этом случае делают клиенты? Природно винят во всем агентство. А агентство в недоумении: как такое могло трахнуться, что все сайты в одночасье оказались завирусованными? Начинается анализ взлома и заражения и выясняется, к примеру, в чем дело? первопричиной был один из клиентов, доступы которого были перехвачены и использованы злоумышленником в неблаговидных целях по первости на его собственном сайте, а потом и на остальных. Или у одного изо сайтов давно не обновляли CMS, в результате он пострадал при очередной вредоносной кампании (нецелевой атаки), а как один человек с ним зацепило и всех его соседей по аккаунту.

Нередко проблемы возникают и у опытных вебмастеров, которые с целью снижения затрат получи хостинг и более удобного администрирования проектов переносят все сайты на всесветный мультисайтовый аккаунт хостинга, где нет технической изоляции. Очевидно, что в итоге каста экономия оборачивается более серьезными затратами на восстановление сайтов после взлома.

«Герой» последней печальной истории – веб-мастер, довольно успешно в течение нескольких лет поддерживающий десяток клиентских сайтов для CMS Битрикс.

Все шло благополучно до появления нового клиента с сайтом получи и распишись CMS Joomla – некоммерческом движке, который часто не выдерживает даже нецелевой атаки. Не выдерживает к защиты на Joomla установлено не было, и, что вполне ожидаемо, в один прекрасный день сайт пал жертвой «случайного взлома». И, как следствие, были заражены и окрестные сайты на Битриксе.

Делаем выводы

Таким образом, если вы являетесь владельцем мультисайтового аккаунта, идеже отсутствует техническая изоляция сайтов друг от друга, задумайтесь, какие веб-проекты попадают в высокую зону черта в плане безопасности: какие из них более динамичны, где сложнее проверять выполнение организационных мер защиты (управлять доступами) – и заблаговременно выполните перераспределение разве полную изоляцию (1 сайт = 1 аккаунт) ваших веб-ресурсов бери хостинге. 

Источник: www.seonews.ru