Як захистити сайт від злому та хакерів

Щоденно хакери здійснюють близько 2200 атак, щоб отримати фінансові, персональні та інші дані. Кожна компанія несе відповідальність перед користувачами, які зареєстровані на сайті та залишають там свою інформацію.

Виток інформації може порушити закон про її захист, як-от GDPR в Європі або Закон України про захист персональних даних. Це загрожує значними штрафами та юридичними проблемами для власника сайту. Так-так, зловмисники зламали ваш сайт, а винними перед законом можете виявитися ви 😐

Крім юридичних негараздів, злом сайту несе і інші неприємності:

Щоб відновити роботу сайту, якщо це взагалі буде можливим, потрібно багато часу та ресурсів.
Якщо сайт зламаний і не працює, ви втрачаєте потенційних клієнтів і доходи. Наприклад, користувачі можуть натрапити на попередження, яке видає Google при спробі відвідати небезпечний сайт — велика червона плашка з повідомленням, що сайт може бути небезпечним або містити віруси.
Після злому вам можуть перестати довіряти.

Тому захист сайтів від злому є важливим обовʼязком кожного розробника.

Базовим методом, як захистити свій сайт від злому, є регулярна зміна паролів для адмінпанелі та обмеження прав доступу. Однак є й інші прості способи захистити сайт від хакерських атак. Зібрали та пояснили їх у цій статті ✅

Використовуйте безпечні хостингові сервери

Захист від хакерів починається з вибору надійного хостинг-провайдера. Наприклад, як дбаємо про безпеку ми в HOSTiQ:

зберігаємо дані на декількох дисках, щоб уникнути простою при проблемі з диском на сервері,
розміщуємо резервні копії в окремих сховищах,
маємо комплексний захист серверів від вірусів Imunify360 Unlimited,
використовуємо Zabbix і Nagios, щоб моніторити стан серверів, вести облік і контроль всіх життєво важливих датчиків машин,
регулярно оновлюємо програмне забезпечення серверів,
даруємо SSL-сертифікат при покупці багатьох тарифів хостингу.

Перед купівлею хостингу обов’язково зв’яжіться з технічною підтримкою і дізнайтеся, як вони захищають свої сервери і сайти клієнтів від злому і атак.

Швидкі сервери, зручна панель керування та турботлива підтримка 24/7 🔥

Дивитися тарифи

При замовленні хостингу на півроку — зареєструємо 🎁 домен в подарунок!
При купівлі на рік — знижка 30%

☝️ Гарантуємо повернути кошти протягом 30 днів, якщо вам щось не сподобалося чи не підійшло.

Оновлюйте програмне забезпечення та плагіни

Часто хакери отримують доступ до сайтів через вразливості в програмному забезпеченні. Тому відповідальні розробники постійно випускають оновлення, які усувають відомі вразливості. Без регулярного оновлення ваш сайт може залишитися під загрозою.

Наприклад, у 2019 році один з популярних плагінів для WordPress, WP GDPR Compliance, мав вразливість, через яку хакери могли отримати доступ до адмінпанелі сайту. Розробники швидко випустили оновлення, але ті, хто не оновив плагін, залишилися вразливими і стали жертвами атак.

Щоб знизити ризик, регулярно оновлюйте не тільки всі компоненти вашого сайту, такі як плагіни, теми та інші сторонні програми, які ви використовуєте, але й програмне забезпечення серверів. Якщо ж у вас віртуальний хостинг, за цим має слідкувати провайдер.

Використовуйте сильні паролі та двофакторну аутентифікацію

Ми вже зачепили цей пункт у вступі, проте багато користувачів все ще обирають слабкі паролі, які можна легко вгадати. Щоб забезпечити базовий захист від хакерів, дотримуйтесь основних правил щодо паролей:

використовуйте складні паролі, які мають не менше 12 символів,
створюйте комбінацію з великих і малих літер, цифр і спеціальних символів,
встановлюйте унікальний пароль для кожного облікового запису,
впровадьте двофакторну аутентифікацію, де це можливо,
час від часу перевіряйте свої паролі на виток даних за допомогою онлайн-інструментів на кшталт ‘;–have i been pwned?

як захиститися від злому: перевірка паролей — *Перевірка паролю за допомогою сервісу ‘;–have i been pwned?*

Ще більше інформації про паролі читайте в нашій статті Як придумати надійний пароль і де його зберігати.

Перевіряйте безпеку коду

Код сайту може мати вразливі місця, які хакери використовують для злому. Якщо завчасно їх виявити та усунути, можна зменшити ймовірність кібератак і покращити загальний рівень безпеки вашого сайту.

Прикладом того, як хакери використовують вразливості коду, є SQL-інʼєкції та Cross-Site Scripting.

Атаки з SQL-ін’єкціями є поширеним типом кібератак, при якому зловмисник вставляє шкідливий SQL-код в запити, що виконуються сервером бази даних. В результаті хакер отримує доступ до чутливих даних, може їх змінювати або навіть виконувати довільний SQL-код на сервері.

XSS або Cross Site Scripting — це тип атаки, коли зловмисник публікує спеціально створений скрипт на сайті, зазвичай написаний мовою JavaScript. Він виконується у браузері користувача при відкритті сторінки сайту. Скрипт може отримати доступ до інформації в cookie, а також виконувати дії від імені користувача, якщо той увійшов до системи, наприклад, читати, писати або видаляти повідомлення.

Зазвичай, якщо хостинг із захистом від злому, то на ньому також є програмне забезпечення, яке може блокувати подібний вид атак. Якщо ж хочете розібратись детальніше, як захистити сайт від атак цього типу самостійно, то залишаємо посилання на більш технічні матеріали:

Щоб підтримувати захист від злому, регулярно скануйте код на вразливості, тестуйте його на проникнення, робіть статичний аналіз коду та використовуйте інші інструменти для виявлення слабких місць. Наприклад, можна використати сервіс Acunetix Web Vulnerability Scanner. Також у вашого хостинг-провайдера повинні бути вбудовані інструменти для сканування хостинг-акаунту та сайтів.

як захистити сайт від вразливостей — *Перевірка безпеки сайту за допомогою Acunetix Web Vulnerability Scanner*

Використовуйте SSL-сертифікат і HTTPS-з’єднання

Захист сайту від злому не буде повним без SSL-сертифіката.

SSL-сертифікат шифрує інформацію, яка передається між сайтом і користувачем, наприклад, паролі чи номери кредитних карток. Завдяки цьому ніхто сторонній не може її перехопити або змінити.

Якщо на сайті не встановлено SSL, відвідувач побачить попередження про не захищене зʼєднання.

як захистити сайт від злому: https-протокол — *Так в Google Chrome виглядає попередження на сайті без SSL-сертифікат*

Коли сайт має налаштований SSL-сертифікат, у адресному рядку з’являється значок замка і URL-адреса починається з «https» замість «http».

Читайте більше про сертифікати безпеки в нашій статті про те, як вибрати SSL-сертифікат.

85% користувачів не будуть купувати через вебсайт, якщо вони не впевнені, що їх дані передаються безпечно.
Захистіть свій сайт з SSL-сертифікатом і не втрачайте клієнтів!

Вибрати SSL

Перевіряйте підозрілу активність

Один із варіантів, як захистити свій сайт, це перевіряти підозрілу активність. Регулярно переглядайте журнали доступу та виявляйте незвичайні патерни активності, наприклад, несподівані сплески трафіку або незвичайну активність у базі даних. Це допоможе швидше реагувати на потенційні загрози.

як захистити сервер від злому: перевірка активностей — *Розділ «Відвідувачі» в cPanel, в якому можна подивитися, хто і що робить на сайті*

🔗 Як подивитися статистику відвідувань сайту в cPanel

Використовуйте веббрандмауер як захист сайтів від атак, щоб виявити та заблокувати підозрілий трафік.

Приховайте директорії адміністраторів

Хакери можуть отримати доступ до даних вашого сайту через сторінку адміністратора. Вони використовують сканери для перевірки всіх каталогів на вашому вебсервері, шукаючи стандартні назви директорій, такі як «admin», «login» або «administrator». Щоб попередити злом адмінки сайту, змініть назву цієї директорії вашого сайту на нестандартну, відому лише вам.

Корисна стаття на тему: Як змінити посилання входу в адмінпанель WordPress 🔗

Також можна заблокувати індексацію директорій адміністратора пошуковими системами, використовуючи файл robots.txt.

Налаштуйте Captcha та інші засоби боротьби зі спамом

Спам часто містить посилання на шкідливі сайти або на завантаження вірусів. Якщо користувачі постраждають від спаму на вашому сайті, це може погіршити його репутацію та відлякати потенційних клієнтів.

Також масовий спам може перевантажити сервер сайту, що призведе до повільної роботи або навіть до збоїв у роботі сайту.

Щоб зменшити ризик спаму та пов’язаних з ним атак, використовуйте капчу та інші методи захисту. Це можуть бути інструменти, такі як плагін Akismet, який фільтрує спам-коментарі на сайтах WordPress, або Google reCAPTCHA, який просить користувачів підтвердити, що вони не є ботами, виконавши певні завдання.

як захистити себе від злому - recaptcha — *Приклад форми з Google reCAPTCHA*

Забезпечте захист для сайту від DDoS-атак

DDoS-атака — це вид кібератаки, під час якої хакери намагаються «покласти» сайт, відправляючи на нього величезну кількість запитів одночасно. Через величезну кількість запитів сервер, на якому розміщений сайт, не витримує навантаження і перестає відповідати. В результаті сайт стає недоступним для справжніх користувачів.

Це один з найпопулярніших видів кібератак, якому піддаються майже всі крупні сайти.

DDoS-атаки: приклад Monobank — *Олег Гороховський, співзасновник Monobank, про атаку на сервіси банку*

Надійний хостинг-провайдер забезпечує свої сервери захистом від DDoS. Власнику онлайн-ресурсу також не варто залишити сайт без захисту від цього типу атак. Для цієї задачі можна підключити CDN-сервіс, наприклад, Cloudflare.

CDN (Content Delivery Network) — це мережа серверів, розташованих у різних країнах, яка допомагає швидше доставляти контент вашого сайту користувачам. Як це працює: коли хтось заходить на ваш сайт, CDN відправляє їм копії сторінок, збережені на найближчому сервері. Це зменшує навантаження на ваш основний сервер і прискорює завантаження сайту.

Крім пришвидшення сайту CDN також допомагає захистити його від DDoS-атак:

CDN фільтрує трафік. Сервіс перевіряє весь трафік, який надходить на ваш сайт, і блокує підозрілі запити.
CDN розподіляє навантаження. Якщо хтось намагається завдати шкоди вашому сайту за допомогою DDoS-атаки, CDN розподіляє навантаження між своїми серверами. Це знижує ймовірність того, що ваш сайт «ляже».

🔗 Посібник з налаштування Cloudflare

Що про нас пишуть клієнти:

‎Дуже багато плюсів. Стабільний хостинг, грамотна підтримка, швидке та компетентне реагування. А ще лояльне ставлення до клієнта!

Тестувати хостинг 30 днів

Бонус: як налаштувати ефективне резервне копіювання

Тепер ви знаєте основні кроки, як убезпечити сайт від злому. Однак, на жаль, 100% гарантії безпеки не існує. Щоб мати змогу швидко відновити сайт у разі атаки або збою, завжди робіть резервні копії та зберігайте їх у надійному місці.

Маємо кілька порад, як налаштувати ефективне резервне копіювання:

Визначте, що копіювати. Включіть усі важливі файли сайту — код, зображення, теми, плагіни, бази даних та конфігураційні файли.
Оберіть тип резервного копіювання. Ми рекомендуємо робити повне резервне копіювання. Також можна робити копії лише змінених або нових даних з моменту останнього резервного копіювання.
Налаштуйте частоту резервного копіювання. Виберіть, як часто створювати резервні копії — щодня, щотижня, щомісяця або за потребою, залежно від частоти оновлень вашого сайту.
Автоматизуйте процес. Використовуйте інструменти або плагіни для автоматичного резервного копіювання. Це зменшить ризик забути про вчасне створення копії. Наприклад, для WordPress є плагіни, які спростять цей процес.
Зберігайте резервні копії в хмарі. Використовуйте сервіси на кшталт Amazon S3, Google Cloud Storage або Dropbox. Хмара надає додатковий рівень захисту, зберігання на локальному сервері може бути ризикованим.
Захистіть резервні копії. Обмежте доступ до резервних копій і захистіть їх паролем.
Перевірте резервні копії. Регулярно перевіряйте, чи правильно працюють ваші резервні копії та чи не містять помилок.
Тестуйте відновлення. Розробіть і протестуйте процедури відновлення, щоб знати, як швидко відновити сайт у разі збоїв.

Сподіваємось, що резервна копія вам ніколи не знадобиться, але краще не нехтувати такою страховкою.

📌 Ремарка: якщо ви маєте віртуальний хостинг з нами, ми створюємо резервні копії за вас що три дні. Відновити або завантажити ці копії можна прямо в панелі керування хостингом cPanel.

А ви мали досвід злому? Розкажіть про це в коментарях 💬