×
Партнерская программа
с выгодой до 35%
Россия +7 (495) 139-20-33

Что делать, чтобы избежать массового взлома сайтов на мультисайтовых аккаунтах хостинга

Россия +7 (495) 139-20-33
Шрифт:
0 7740

Как shared-хостинг, так и VPS сервер позволяет размещать несколько сайтов внутри одного пользовательского аккаунта. Для своего удобства, а также в целях экономии средств вебмастера, веб-студии, интернет-агентства и сами владельцы бизнеса размещают не по одному и даже не по два сайта на одной площадке. Это, безусловно, более выгодно, чем приобретать для каждого сайта отдельный аккаунт и проще, чем заводить для каждого сайта отдельного пользователя на сервере. Но в большинстве случаев все эти владельцы мультисайтовых аккаунтов сталкиваются с одной серьезной проблемой, имя которой – массовый взлом и заражение всего аккаунта хостинга. Иногда это десятки «пациентов» на одной площадке, которым требуется срочное лечение от вирусов, что в итоге выливается в довольно серьезные финансовые затраты.

Причина массовых взломов чаще всего кроется в неправильном размещении сайтов на хостинге, когда взлом одного сайта на аккаунте приводит по цепочке к заражению остальных. Например, один сайт на старой и уязвимой версии Joomla, Wordpress, MODx, DLE и т.п. подвергает угрозе все остальные сайты на аккаунте, даже если они работают на актуальных версиях CMS с обновленными плагинами.

На хостингах, где техническая изоляция сайтов друг от друга отсутствует (а таких большинство) и скриптами одного сайта можно вносить изменения в файлы другого, действуют особые правила безопасного размещения сайтов. Об этом и хотелось бы поговорить в данной статье.

«Скрытая угроза»

Любой сайт вне зависимости от места его размещения можно защитить техническими средствами от веб-атак извне или хотя бы повысить его обороноспособность против внешних вторжений (если на хостинге не позволяют произвести все необходимые настройки в полном объеме). Но технические средства защиты решают лишь часть проблем владельца мультисайтового аккаунта, на котором отсутствует техническая изоляция сайтов друг от друга. Угроза может исходить от незащищенного сайта-соседа, то есть изнутри.

В случае с массовым взломом нужно работать или со всеми сайтами на аккаунте сразу (лечить все ресурсы от вирусов и защищать от повторного взлома) или создавать новые аккаунты и переносить на них наиболее критичные и важные для бизнеса веб-проекты, после чего выполнять с ними процедуру лечения. Если этого не сделать, то невылеченные сайты будут заново заражать ресурсы, которые только что очистили от вредоносного кода и хакерских скриптов. Процесс лечения при массовом взломе может превратиться в бесконечный процесс, напоминающий вычерпывание воды из дырявой лодки.

Часто владельцы мультисайтовых аккаунтов действуют избирательно, инвестируя в защиту только прибыльных проектов. А второстепенные сайты – блоги, тестовые площадки, старые и забытые веб-проекты остаются без внимания. Их-то и может атаковать хакер в первую очередь, а потом получить доступ к «основному активу».

В этом же списке «потенциальных угроз» и вновь созданные сайты на хостинге. Если вы переносите или создаете новый сайт на аккаунте, где размещены защищенные от веб-атак сайты, не забудьте защитить нового «жильца» до публичного анонса, не дожидаясь «непрошенных гостей».

Многие владельцы сайтов заблуждаются относительно «изолированности» сайтов друг от друга. Считается, что если для каждого сайта создан отдельный FTP-аккаунт, то и сайты «живут» независимой друг от друга жизнью, то есть изолированы. Однако это не так, ведь речь идет об одном и том же пользователе операционной системы, и наличие виртуальных пользователей для работы FTP-доступов не исключает возможность взлома одного сайта через другой с помощью PHP-скриптов (для них в большинстве случаев не будет ограничений внутри аккаунта) или компрометации SSH-аккаунта или основного FTP-аккаунта. Поэтому проблема остается актуальной для очень многих клиентов. Единственное, что изолирует сайты друг от друга – это возможность создания отдельных SSH-доступов для каждого сайта. Используйте это как индикатор реальной «изолированности». Если для каждого сайта на хостинг-площадке нельзя организовать отдельный SSH-аккаунт, то сайтам угрожает массовый взлом.

Многие неопытные администраторы убеждены, что при определенных настройках PHP (например, настроив параметр open_basedir) можно ограничить свободу на хостинге и защитить сайты от массового взлома, но это, увы, не так. Во-первых, хакеры умеют обходить эти настройки, а во-вторых, кроме PHP есть и другие возможности активировать хакерские скрипты или внедрять вредоносный код в файлы соседних сайтов.

Безопасность сайта = технические средства защиты + организационные меры

При отсутствии технической изоляции сайтов в рамках одного аккаунта хостинга целесообразно создавать несколько аккаунтов и «перераспределять» сайты на них. Идеальная ситуация, когда на одном аккаунте находится один сайт, но зачастую это непозволительная роскошь – слишком велика финальная цифра на содержание отдельных «апартаментов» для каждого сайта. На выручку приходит второй элемент комплексной безопасности – организационные меры (напомним, первый важный компонент комплексной безопасности сайта – это технические средства защиты, которые настраиваются разово специалистами по информационной безопасности сайтов).

Организационные меры включают в себя:

1) Обеспечение безопасного рабочего места, то есть компьютера, с которого выполняется администрирование сайта (лицензионное антивирусное ПО; обновленные до последней версии приложения и пр.).

2) Безопасное сетевое подключение при работе с сайтом (использование VPN – Virtual Private Network – при подключении к WiFi в общественных местах).

3) Инструктаж сотрудников по безопасной работе с сайтом (кому и как предоставлять доступы к сайту и хостингу).

4) Управление доступами (регулярная смена паролей; безопасная передача доступов; предоставление ограниченных прав доступа для выполнения задач подрядчиками).

5) Работа с подрядчиками (работа по договору; проверка сайта на предмет заражения после завершения работ на сайте третьими лицами).

6) Регулярная плановая проверка сайтов на предмет взлома и заражения специальными инструментами (для этой цели отлично подходят бесплатные сканеры типа AI-BOLIT (проверка файлов на хостинге) и ReScan.Pro)

Выполнение организационных мер безопасности в сочетании с техническими средствами защиты всех сайтов на площадке минимизирует риски несанкционированного вторжения хакера на аккаунт. Но, как показывает практика, для некоторых веб-проектов это сделать очень сложно, а иногда и просто невозможно. Речь, прежде всего, идет о динамично развивающихся веб-проектах, с которыми одновременно работает большое число специалистов.

Согласитесь, довольно трудно проверить, стоит ли на компьютере фрилансера, который удаленно занимается SEO вашего сайта, коммерческий антивирус; всегда ли контент-менеджер, обновляющий информацию в разделе «Публикации», использует VPN, подключаясь к WiFi в его любимой пиццерии; предоставляет ли ваш веб-мастер FTP-доступ дизайнеру в конкретную папку с нужным сайтом, а не SSH ко всему аккаунту хостинга.

Чем сложнее проконтролировать соблюдение организационных мер безопасности при работе с конкретным сайтом, тем в большей зоне риска оказывается такой сайт и тем бОльшую угрозу безопасности он представляет своим «соседям» по хостингу.

Как уже было упомянуто выше, это касается активно развивающихся веб-проектов, доступ к которым имеет несколько специалистов. Такие веб-проекты временно (в период активного роста и развития) или на постоянной основе «заслуживают» отдельных аккаунтов, дабы не навредить «статичным» проектам, на которых изменения вносятся крайне редко.

Другая альтернатива – полностью передать такие «неудобные» сайты в специализированную компанию, которая обеспечит должный уровень контроля выполнения технических средств защиты и соблюдения организационных мер безопасности при работе с сайтом.

Случаи из практики

В нашей практике много случаев, когда интернет-агентства или веб-студии «попадают» на крупную сумму из-за уязвимого сайта одного из своих клиентов или нерадивого подрядчика (фрилансера), которому делегируют определенную задачу. Ситуации типичны: агентство занимается поддержкой и продвижением клиентских сайтов, все сайты находятся на одном аккаунте хостинга или сервера, на котором нет технической изоляции проектов друг от друга. В один не очень прекрасный день обнаруживается, что все они заражены: инвестиции в SEO и продвижение нескольких сайтов потрачены зря, так как Яндекс или Google блокируют сайты в поисковой выдаче, хостер закрывает аккаунт за рассылку спама или фишингового контента и т.п.

Что в этом случае делают клиенты? Естественно винят во всем агентство. А агентство в недоумении: как такое могло случиться, что все сайты в одночасье оказались завирусованными? Начинается анализ взлома и заражения и выясняется, к примеру, что первопричиной был один из клиентов, доступы которого были перехвачены и использованы злоумышленником в неблаговидных целях сначала на его собственном сайте, а потом и на остальных. Или у одного из сайтов давно не обновляли CMS, в результате он пострадал при очередной вредоносной кампании (нецелевой атаки), а вместе с ним зацепило и всех его соседей по аккаунту.

Нередко проблемы возникают и у опытных вебмастеров, которые с целью снижения затрат на хостинг и более удобного администрирования проектов переносят все сайты на общий мультисайтовый аккаунт хостинга, где нет технической изоляции. Очевидно, что в итоге эта экономия оборачивается более серьезными затратами на восстановление сайтов после взлома.

«Герой» последней печальной истории – вебмастер, довольно успешно в течение нескольких лет поддерживающий десяток клиентских сайтов на CMS Битрикс.

Все шло благополучно до появления нового клиента с сайтом на CMS Joomla – некоммерческом движке, который часто не выдерживает даже нецелевой атаки. Никакой защиты на Joomla установлено не было, и, что вполне ожидаемо, однажды сайт пал жертвой «случайного взлома». И, как следствие, были заражены и соседние сайты на Битриксе.

Делаем выводы

Таким образом, если вы являетесь владельцем мультисайтового аккаунта, где отсутствует техническая изоляция сайтов друг от друга, задумайтесь, какие веб-проекты попадают в высокую зону риска в плане безопасности: какие из них более динамичны, где сложнее контролировать выполнение организационных мер защиты (управлять доступами) – и заблаговременно выполните перераспределение или полную изоляцию (1 сайт = 1 аккаунт) ваших веб-ресурсов на хостинге. 

(Голосов: 5, Рейтинг: 5)
Читайте нас в Telegram - digital_bar

Есть о чем рассказать? Тогда присылайте свои материалы Ане Макаровой


Новые 
Новые
Лучшие
Старые
Сообщество
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
Отправить отзыв
ПОПУЛЯРНЫЕ ОБСУЖДЕНИЯ НА SEONEWS
Что скрывает «Прогноз бюджета Яндекс.Директ»?
Михаил Мухин
15
комментариев
0
читателей
Полный профиль
Михаил Мухин - Здравствуйте! 1-2. Считает стенд. Ссылка на него дана, но могу повторить: online.p-c-l.ru/competition/task/card/id/106. Нажмите на кнопку "Начать" и заранее приготовьте прогноз бюджета Яндекс. Суть расчета: перебор комбинаций всех ставок на всех фразах, построение бюджетных когорт - бюджетов с одинаковым СРС, отбор в каждой когорте бюджета с максимальным количеством кликов и ..., да упорядочивание этих бюджетов по мере возрастания СРС, причем берем не все, а с фиксированным шагом. 3. Гугл считается через поправочные коэффициенты. Мы перевариваем океан данных и представляем их. На удивление, получается не менее, хотя и не более точно, как и прогноз Яндекс. Конечно, нужно понимать, что это очень примерные прикидки, фактически перевод неточного прогноза Яндекс в удобочитаемую форму, не больше. Самое интересное начинается, когда применяешь метод бюджетных когорт к измерению показателей фраз на реальной рекламной кампании в режиме 48х7. Первые результаты очень хорошие. Если хотите присоединиться к бесплатному тестированию, напишите Эльвире r-support@r-broker.ru. В теме укажите "хочу присоединиться к тестам Умного управления рекламой"
Ссылочное продвижение локальных сайтов: ТОП худших SEO-методов
demimurych
8
комментариев
0
читателей
Полный профиль
demimurych - о господи. это для регионального сайта? в яндексе? где у сайта по региону конкурентов меньше чем выдачи на двух страницах из которых перваш это реклама москвы? потешно ей богу. ктото чего то не понеимает.
От мечты стать юристом к собственному SMM-агентству. Как найти себя в современном цифровом мире
Виктор Брухис
5
комментариев
0
читателей
Полный профиль
Виктор Брухис - Статья выглядит так, как пожелали редакторы и интервьюер) Вопросы к интервью подбирал не я)) Хотя, в целом я согласен с вашим видением. А за пожелание удачи большое спасибо!
Зачем подменять контент на сайте: разбираем инструмент и развенчиваем мифы
Дмитрий Сульман
4
комментария
0
читателей
Полный профиль
Дмитрий Сульман - Все верно, об этом я и говорю. У крупных компаний есть много данных и они имеют доступ к дорогим технологиям и решениям для персонализации контента. Топовые западные сервисы для персонализации, такие как RichRelevance или Dynamic Yield, стоят от нескольких тысяч до десятков тысяч долларов в месяц. Понятно, что малый бизнес не может себе этого позволить. Да даже если бы чисто теоретически и мог, то это вряд ли бы имело хоть какой-то смысл. Во-первых, у малого бизнеса недостаточно данных, чтобы подобные алгоритмы персонализации начали эффективно работать, а во-вторых, тот профит, который МСБ получит от персонализации, никогда не покроет таких расходов. Мы же предлагаем решение, доступное как раз для малого и среднего бизнеса. При этом наше решение комплексное: МультиЧат - это одновременно и инструмент для персонализации, и для коммуникации.
Монетизируйте свой сайт вместе с VIZTROM
VIZTROM
3
комментария
0
читателей
Полный профиль
VIZTROM - Добрый день! Так как мы сейчас работаем в приватном режиме, Вы врятли можете объективно оценить нашу рекламную площадку. У нас будет официальный запуск 3 марта для вебмастеров. Приглашаем Вас присоединиться к нам и лично посмотреть наш функционал.
Как выбрать CMS для интернет-магазина
Константин Елистратов
5
комментариев
0
читателей
Полный профиль
Константин Елистратов - Бесплатный движок со всеми описанными в статье плюсами и минусами :-)
Digital-разговор: Михаил Шакин про SEO, Google и заработок в интернете
Анна Макарова
368
комментариев
0
читателей
Полный профиль
Анна Макарова - Подготовим ) Пока предлагаю почитать интервью с Денисом Нарижным из той же серии. Там стенограмма =) www.seonews.ru/interviews/digital-razgovor-denis-narizhnyy-pro-ukhod-iz-seo-i-zarabotok-na-partnerkakh/
Как удвоить выручку за счет продвижения в поиске. Кейс coffee-butik.ru
Максим Боровой
3
комментария
0
читателей
Полный профиль
Максим Боровой - Последний вопрос (извиняюсь за количество) - почему на "В корзину" стоит Nofollow. Осознанно для распределение весов?
Автоматические SEO-аудиты: как напугать некорректными выводами
SEOquick
38
комментариев
0
читателей
Полный профиль
SEOquick - Парсинг сайтов – это самый лучший способ автоматизировать процесс сбора и сохранения информации. Конкурентов всегда нужно мониторить, а не сравнивать свой сайт через автоматический аудит анализатора.
Почему вы торгуетесь за показы, даже если платите за клики
Константин Требунских
3
комментария
0
читателей
Полный профиль
Константин Требунских - Дмитрий, спасибо за комментарий, хорошие замечания!) 1. "Какая-то подмена понятий. CPM у “Original Works” взлетает не от того, что у них РАВНАЯ цена клика, а оттого, что вы "с потолка" поставили ему CPC в 2 раза выше, чем был. Логично, что и CPM в 2 раза увеличился (см. формулу выше). Если бы вместо 5 вы всем решили поставить 2 или 1.5, то он бы наоборот уменьшился." Вы правы, что CPM уменьшился бы. В первой и второй табличке берем одинаковое количество показов (именно за них мы платим сначала) и считаем данные, в том числе CPC. Мы поставили рекламодателей в одинаковые условия и посмотрели их эффективность в разрезе цены клика при одинаковом количестве показов. А затем изменился аукцион, и, взяв получившиеся данные по кликам и CTR, мы поставили рекламодателей тоже в одинаковое положение, но уже по цене клика, ведь мы теперь за него платим. Посчитали эффективность в разрезе уже CPM. Тут если и есть подмена понятий, то она точно не моя, а рекламных систем, потому и обозначена, как "ход конем" :) 2. "Ок, смотрим таблички "как оно было" и "как оно стало". Было: система суммарно за 2 000 денег показала рекламу 4 000 раз. Стало: система суммарно за 2 000 денег показала рекламу 13 500 раз. Сомнительный профит для системы." Вы правы, именно поэтому для рекламодателей с низким CTR ставка будет выше, чем для рекламодателей с высоким CTR. Просто чтобы система окупилась. Потому что, системе выгодно продавать показы тем, у кого кликов будет больше (ведь они платят за клик). По факту реальные цены за клик в аукционе будут как в таблице 2. Но ранжирование системы проводят по таблице 5.
ТОП КОММЕНТАТОРОВ
Комментариев
910
Комментариев
834
Комментариев
554
Комментариев
540
Комментариев
483
Комментариев
373
Комментариев
368
Комментариев
262
Комментариев
249
Комментариев
171
Комментариев
156
Комментариев
139
Комментариев
121
Комментариев
108
Комментариев
97
Комментариев
97
Комментариев
96
Комментариев
85
Комментариев
80
Комментариев
77
Комментариев
67
Комментариев
60
Комментариев
59
Комментариев
57
Комментариев
56

Отправьте отзыв!
Отправьте отзыв!