Привет!

Мои сайты и сайты моих клиентов неоднократно взламывали. Нельзя сказать, что это норма, но и на 100% от этого избавиться невозможно. В большинстве случаев все взломы проходили без участия человека и только после того как ваш сайт начинает представлять какую-то ценность для взломщиков, могут подключиться реальные люди.

В этой статье я хотел бы рассказать зачем нынче вообще взламывают сайты интернет-магазинов, а также как можно минимизировать шансы быть взломанным. В статье мы не будем говорить про DDoS атаки, так как это все-таки не взлом, а иное.

Все основано на моём опыте защиты от атак.

Зачем взламывают интернет-магазины?

Очевидно, для того, чтобы получить доступ к нужной информации. Или эту информацию собрать в своих корыстных целях. Большая часть взломов проводится не для того, чтобы вырубить сайт. Читайте и расскажу подробнее.

Взлом в автоматическом режиме

Подавляющее большинство взломов происходят в автоматическом режиме. Как это работает:

  1. Находится какая-то известная “дыра” в известной CMS;
  2. Настраиваются боты, которые начинают сканировать интернет и находить сайты на этой платформе;
  3. И пытаются получить доступ к сайту, используя эту “дыру”

При положительном исходе взлома бот сообщает об этом своему владельцу, который, в свою очередь, уже решает что делать дальше. Чаще всего заливают какое-нибудь ПО для доступа к вашим файлам и БД.

Причем вы об этом даже и не узнаете.

Взлом в ручном режиме

Но иногда взлом происходит и в ручном режиме. Зачем?

Используя незакрытую “дыру”, можно просто удалить файлы сайта хостинга, тем самым остановив работу интернет-магазина. 

Владелец восстанавливает сайт из резервной копии, сайт снова удаляют, затем его снова восстанавливают и так далее… Такие качели могут продолжаться долгое время до тех пор, пока не будет закрыта “дырка” в безопасности сайта.

Откровенно говоря, это весьма тупой способ навредить, так как, если бы я был взломщиком, я бы, наоборот, извлекал из этого выгоду. Причем, владелец сайта может даже и не замечать изменений в работе своего магазина. 

Реальные примеры

Внедрить ссылку на чужой сайт

Хорошие ссылки с качественных сайтов ценятся очень дорого. Разместив несколько ссылок на крупных сайтах, можно весьма неплохо приподнять свой сайт в поисковой выдаче, чем и пользуются злоумышленники.

Это чистой воды “Черное SEO”, но до сих пор пользующееся популярностью.

Ссылки размещаются так, чтобы пользователь их не видел, в отличии от поисковых систем, которые их и индексируют.

Видите ссылку? Нет. А она есть.

Взял пример с чужого сайта

Внедрить код ретаргетинга

Но еще интереснее внедрить свои коды ретаргетинга (что это?) во взломанный сайт, что тут же позволяет получить всю аудиторию сайта-конкурента для рекламы своего проекта.

Работает это так:

  1. Злоумышленник внедряет свой код на сайт конкурента в нашей нише;
  2. Начинается сбор аудитории в рекламные кабинеты злоумышленника;
  3. И теперь можно смело начинать давать рекламу на аудиторию, которая интересуется нашим товаром и хочет его покупать

Только если обычно мы собираем трафик со своего сайта, то тут используем посетителей сайта конкурентов.

Это просто скрипт, который виден только в исходном коде страницы.

Весьма неплохой способ получить горячую аудиторию, согласитесь?

Слежка за конкурентом

Аналогичным образом можно внедрить коды аналитики Google Analytics и Яндекс.Метрики и получить детальный отчет посещаемости сайтов конкурентов.

Вы будете видеть ровно те же отчеты, которые видят и владельцы этих сайтов. Понятное дело, на основе этой аналитики можно корректировать и свои маркетинговые стратегии.

Есть и другие способы извлечь выгоду из взлома сайта конкурента, но я не хочу, чтобы это выглядело как руководство к действию, поэтому всё освещать не буду.

Но расскажу как себя максимально обезопасить от возникновения такого геморроя.

Как обезопасить себя от взлома?

Делаем резервные копии

Как известно, люди делятся на 3 типа: 

  1. Те, кто еще не делает резервные копии;
  2. Те, кто уже делает резервные копии;
  3. Те, кто регулярно проверяет работоспособность резервных копий.

Просто прочитайте мою статью и поймете как сохранить побольше волос на голове и нервных клеток.

Проще всего делать бэкапы силами хостинга. Раз в месяц выкачивайте все файлы и раз в неделю всю базу данных. Обратитесь к вашему хостингу за подробностями.

Ищите типа такого раздела на хостинге:

А полученные оттуда файлы разложите в следующие места:

  1. Ваш жесткий диск;
  2. 2 разных облака (Гугл диск, яндекс диск и т.п.)
  3. И на сервере где сайт тоже оставьте.

Этого уже будет достаточно.

Ставим дополнительную защиту на админку

Это спасет вашу админку от взлома “в лоб”.

Чаще всего взламывают административную часть сайта, поэтому советую защитить её дополнительной авторизацией через настройки htaccess на сервере. 

Просто скажите своему программисту или техподдержке хостинга “Хочу дополнительный пароль через htpasswd на админку” и он все сделает.

Только пароль поставьте что-то вроде 3MRX9je@27RZ8|D

Теперь при входе в админку вас будет встречать такое окошко. И потом уже откроется

Даем временные пароли с ограничением прав

Если вы передаете логины и пароли третьим лицам для работы с вашим сайтом, всегда делайте перед этим резервную копию сайта.

Никогда не передавайте основной админский логин и пароль для доступа фрилансерами и кому-либо еще.

Создавайте для них отдельный аккаунт с ограничением прав.

Как это сделать узнавайте у своего программиста.

Вовремя обновляем версию вашего сайта или следим за обновлениями

Если у вас популярная CMS для интернет-магазина, следите за её обновлениями и вовремя обновляйте. Но тут тоже важно не перестараться, так как лучшее часто является врагом хорошего. Например, Opencart 2 отличается от Opencart 3 практически всем. Переехать со второй на третью версию равносильно переезду на другую CMS.

Выгодно тут отличается WordPress, у которого очень плавно построен переход и проблемы случаются редко. Но и для интернет-магазинов он не особо заточен, кто бы что не говорил.

Отслеживаем изменение файлов

Это, пожалуй, ключевой момент в безопасности.

Почти все внедрения в ваш сайт заканчиваются “подкладыванием” новых файлов, наличие которых легко отследить благодаря регулярному сканированию.

Как это работает: 

  1. Вы устанавливаете специальный скрипт на сайт;
  2. Включаете индексирование файлов;
  3. Скрипт проходит и создает “слепок” состояния файлов;
  4. При наличии каких-либо новых/измененных/удаленных файлов скрипт тут же шлет вам письмо со списком изменений.

Тем самым очень легко отследить изменения и тут же их пофиксить. Я рекомендую бесплатный сервис Serval для такого рода задач.

Как работает эта штука:

Сам пользуюсь, поэтому смело рекомендую

Цементирование CMS

А одним из самых надежных способов является “цементирование” CMS, когда цементируются файлы сайта и в них невозможно что-либо изменить без прав доступа. Файлы, которые требуют постоянного режима чтение/запись находятся, при этом, под постоянным контролем.

Но подобная работа требует уже достаточного опыта, так как можно легко зацементировать то, без чего сайт тупо перестанет работать :)

Выводы

3 факта, которые дадут вам спать спокойно

  1. Делайте бэкапы раз в неделю и складывайте их в разные места;
  2. Настройте двойную аутентификацию в админскую часть;
  3. Настройте отслеживание изменения файлов для окончательной уверенности.

Если есть вопросы, буду рад ответить в комментариях :)

Похожие статьи:

Метки: ,

Подпишитесь на обновления блога

Новые статьи сразу вам на email! Бонусом 30 практических советов для новичка или владельца интернет-магазина!
Они экономят деньги. И время.

Ваш комментарий



Андрей Родионов
Автор блога
 
Об авторе
Запуск
Вашего интернет-магазина
С юридической гарантией окупаемости

Узнать подробности