⚡ Как выполнить аудит безопасности сайта (с помощью чек-листа)

Зачем проверять свой сайт на безопасность?

Большинство взломов и кибератак происходит из-за плохих практик безопасности.

Вы сделали сайт, провели работы по СЕО и добавили его в Каталог сайтов.

Но что насчет безопасности ресурса?

Первый шаг, который вы можете предпринять, чтобы улучшить вашу онлайн-безопасность, это точно знать, что установлено на вашем сайте.

Наличие контрольного списка может помочь вам оставаться на вершине безопасности веб-сайта.

Чек-лист аудита безопасности сайта

Вот упрощенный шаблон контрольного списка безопасности веб-сайта, который вы можете использовать для аудита вашего ресурса.

Мы рекомендуем провести тщательный аудит, если вы делаете это впервые.

Изменить настройки CMS по умолчанию:

• Пользовательские настройки
• Настройки комментариев
• Общая видимость информации (например, отчеты об ошибках PHP могут раскрыть детали конфигурации)

Установите наиболее подходящие права на файлы

• Чтение, запись или выполнение
• Владелец, группа или публичный

Проверьте последние обновления программного обеспечения

• Убедитесь, что ваша CMS работает на последней доступной версии.

Используйте расширения безопасности для вашей CMS

• Например, для WordPress вы можете установить плагины безопасности веб-сайта, такие как Sucuri Free WordPress Security Plugin.
• Проверьте настройки плагина безопасности

Если у вас установлены расширения / плагины, проверьте:

• последнее обновление,
• возраст расширения,
• количество установок,
• и что ваши плагины взяты из законных и надежных источников (например, репозиторий плагинов WordPress).

Сделайте резервную копию ваших данных

• Имейте внешнюю резервную копию.
• Настройте автоматическое резервное копирование.
  Имейте надежный план восстановления. Сохраните копию бэкапа во втором месте на случай, если с резервной копией что-то случится, и убедитесь, что вы можете восстановить свой сайт из резервной копии с минимальным временем простоя.
• Проверьте целостность резервных копий, чтобы убедиться, что они не повреждены или иным образом непригодны для использования.

Следуйте рекомендациям по настройке файлов сервера

• Ознакомьтесь с файлами конфигурации веб-сервера – веб-серверы Apache используют файл .htaccess; Серверы Nginx используют nginx.con; Серверы Microsoft IIS используют web.config
• Запретите просмотр каталогов
• Запретите хотлинкинг изображений
• Защита конфиденциальных файлов

Установите сертификат SSL

• Убедитесь, что данные вашего сайта в момент передачи зашифрованы. Вы можете ознакомиться с этим пошаговым руководством по установке сертификата SSL.
• Настройте SSH (Secure Shell) протокол передачи файлов

Установите автоматическое сканирование вредоносных программ на вашем сайте

• Важно быть в курсе состояния безопасности вашего сайта.

Используйте уникальные пароли

• Убедитесь, что все пароли (FTP, CMS, База данных и т. д.) надежны.

Убедитесь, что сайт не находится в черном списке

• Некоторые сайты, такие как Google или McAfee SiteAdvisor, добавляют предупреждения на зараженные веб-страницы.

Текущий Аудит

После того, как вы один раз завершили тщательный аудит безопасности веб-сайта, вам все равно необходимо регулярно проверять некоторые элементы.

Мы рекомендуем проводить постоянный аудит как часть поддержания хорошего состояния безопасности веб-сайта.

Вот контрольный список того, что необходимо постоянно проверять:

Обновления

• Проверьте устаревшее или небезопасное программное обеспечение
• Пароли

Удаление

• Неактивные или неиспользуемые плагины
• Неактивные или небезопасные темы и расширения

Обзор

• Доступ пользователя и учетной записи – минимум привилегий
• Файловые права
• Настройки плагина безопасности
• Настройки резервного копирования
• SSL сертификат
• Изменения в файлах – мониторинг целостности

Если вы не знакомы с какими-либо пунктами, показанными в этом контрольном списке, вы можете начать с этого краткого 8-минутного прочтения:

? Советы по безопасности, чтобы защитить ваш сайт от хакеров

Упрощенный контрольный список аудита безопасности веб-сайта

Вы можете сохранить упрощенный контрольный список аудита безопасности сайта:

Плагин Sucuri для безопасности WordPress

Если ваш сайт использует WordPress, вы можете установить бесплатный плагин Sucuri Security для WordPress, который предлагает:

• Аудит безопасности
• Мониторинг целостности файлов
• Удаленное сканирование вредоносных программ
• Мониторинг черного списка
• Эффективное усиление безопасности
• Действия после взлома
• Уведомления о безопасности
• Брандмауэр веб-сайта (премиум)

Заключение

Хорошей новостью является то, что, поскольку вы продолжаете проверять свой веб-сайт на предмет безопасности, он становится более эффективным, и аудит будет занимать все меньше времени.

Самое главное, точно знать, что вы установили, и поддерживать свой веб-сайт в актуальном состоянии, снижает вероятность того, что злоумышленник получит доступ к вашим ресурсам.

Мониторинг веб-сайта является важной частью безопасности и не должен быть упущен.

Платформа мониторинга Sucuri сочетает в себе удаленный сканер и серверный сканер, чтобы вы могли иметь четкое представление о состоянии безопасности вашего веб-сайта.

Платформа безопасности веб-сайтов предлагает мониторинг, защиту и реагирование на веб-сайты в случае взлома и атак.

Злоумышленники всегда пытаются найти новую тактику и способы доступа.

Точно так же, как вы работаете над тем, чтобы поддерживать ваш сайт в чистоте и обновляться, важно также обновлять знания о безопасности вашего сайта.

Наконец, продолжайте читать сообщения в блогах, статьи, отчеты о последних новостях, касающихся вашей CMS или среды веб-сайта.