SEO Conference: как обеспечить безопасность клиентских сайтов

Россия+7 (495) 960-65-87
Шрифт:
1 2190
zemskov-145.png

На SEO Conference 2016, которая проходит с 29 по 30 сентября в Казани, обсуждались не только вопросы поискового продвижения. Григорий Земсков (Ревизиум) выступил с докладом «Как обеспечить безопасность клиентских сайтов в процессе оказания услуг».

Свое выступление Григорий начал с заявления, что около 20% сайтов сайтов взламываются по вине их владельцев или администраторов. Ведь чаще всего до безопасности сайта никому нет дела. Владелец сайта занимается организационными вопросами, а специалистам, работающим над продвижением и развитием ресурса, обычно не до того или просто не хватает компетенций.

Отношение сотрудников рядовой компании к безопасности наглядно демонстрирует схема «миграции» паролей:

Миграция паролей.PNG

Клиент передает пароль менеджеру/рабочей группе, рабочая группа обращается к внешним подрядчикам или другой рабочей группе. Стоит взломать аккаунт одного из агентов – злоумышленник получает доступ ко всем данным.

Какими еще способами утекают пароли? Есть несколько вариантов:

1. Уязвимости ПО/хостинга

2. Заражение роутера

3. Компропетация сервера

4. Взлом почтового ящика

5. Взлом или заражение компьютера

6. Социальная инженерия

7. Перехват доступов по wi-fi

8. Подбор пароля (брутфорс атака)

9. Раскрытие доступов третьим лицам

Халатное отношение к безопасности сайта может повлечь разные последствия, начиная от технических проблем и заканчивая потерей бюджетов.

Что будет, если ничего не делать.PNG

Еще одна проблема, с которой сталкиваются владельцы сайтов, ­­− повторный взлом сайтов. Причины:

  • Не поменяли пароли
  • Восстановили сайт из резервной копии
  • Перенесли на prod-сервер зараженную версию с dev-сервера
  • Отключили защиту
  • Любая из причин, по которой взломали в первый раз

причины проблем.PNG

Комплексная безопасность сайта состоит из технических средств и организационных мер.

Подробно Григорий рассказал про организационные меры:

  • Безопасное рабочее место (выбор ОС, регулярное обновление ОС, антивирусное ПО, использование менеджеров паролей, отдельный рабочий компьютер или терминал, мониторинговые расширения);
  • Сетевое подключение (выбор безопасного сетевого подключения (роутер, 3G/LTE), использование VPN для открытых сетей);
  • Управление доступами (регулярная смена паролей от панели хостинга, FTP, SSH, админ-панели сайта, базы данных, сложные и разные пароли, включить логгирование операций, у подрядчиков минимальные необходимые доступы с минимальным сроком валидности, заменить доступы сразу после завершения работы, двухфакторная аутэнтификация, SSH-ключи для подключения, не использовать FTP);
  • Инструктаж (составить инструкцию по безопасности, познакомить субподрядчиков с предписаниями и инструкцией, проверить выполнение);
  • Резервное копирование (выбрать стратегию резервного копирования, выбрать место для хранения (не на сервере), проверить резервные копии);
  • Аудит безопасности (аудит перед публичным анонсом проекта, регулярные проверки на вирусы и взлом в процессе работы, аудит после работы подрядчиков).

В завершение выступления Григорий напомнил о том, что «словарные пароли» сложно считать безопасными:

словарные пароли.PNG

Читайте и другие доклады обзоры с конференции:

Поведенческие факторы 7.0 от Романа Морозова

Все-таки адаптив?

Случилось что-то важное? Поделитесь новостью с редакцией.


Новые 
Новые
Лучшие
Старые
Сообщество
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
Отправить отзыв
  • Ревизиум
    6 месяцев назад
    Ссылка на презентацию www.slideshare.net/revisium/ss-66591994
    -
    1
    +
    Ответить
ПОПУЛЯРНЫЕ ОБСУЖДЕНИЯ НА SEONEWS
SEOnews и Serpstat запускают конкурс для интернет-маркетологов
Marina Lagutina
1
комментарий
0
читателей
Полный профиль
Marina Lagutina - Добрый день! Видимо я из тех, кто пытается последней вскочить в уходящий поезд. Ночью написала статью на тему "обзор инструментов контент-маркетинга". Своего блога нет. Отправила вам не мейл. Я еще могу у вас разместиться или искать, кто возьмет статью к себе в блог?
«Я оптимизировал сайт, а он не в ТОП! Что делать?»
Павел Горбунов
7
комментариев
0
читателей
Полный профиль
Павел Горбунов - Как можно в инструменте tools.pixelplus.ru/tools/text-natural сравнить текст со страницы конкурента и со своей страницы? Я вижу возможность только для проверки одного урла.
Монетизация сайта. Как, когда, сколько?
Гость2
1
комментарий
0
читателей
Полный профиль
Гость2 - Руслан! Спасибо за ваш сервис и за данную статью в частности! С апреля являюсь вашим пользователем - очень доволен как сервисом, так и уровнем заработка! Еще раз спасибо, удачи вашему проекту!
Мир глазами поисковых систем
Александр Рунов
7
комментариев
0
читателей
Полный профиль
Александр Рунов - Какой регион, если не секрет? В Мск, в ряде ВК тематик (в тех же "окнах" или "колесах"), без работы с внешними факторами по ВЧ запросам в ТОП не выплывешь. Хотя в большинстве направлений вполне реально.
Влияние HTTPS на ранжирование региональных поддоменов в Яндексе
Екатерина Иванова
1
комментарий
0
читателей
Полный профиль
Екатерина Иванова - Посмотрите на сколько упал трафик и на сколько потом вырос:упал на 10-20% на 1 месяц, а вырос в итоге в 5 раз. Одним мартовским трафиком всё падение перекрыли. Или можно ждать Яндекс неопределённое количество времени со стартовым уровнем трафика. Упущенные возможности и всё-такое.
День рождения SEOnews: 12 лет в эфире!
Анна Макарова
308
комментариев
0
читателей
Полный профиль
Анна Макарова - Ура )
7 причин не работать на биржах копирайтинга
Dasha Shkaruba
6
комментариев
0
читателей
Полный профиль
Dasha Shkaruba - Спасибо за мнение! Кстати, на бирже главреда прием анкет закрыт
Google.ru внесли в реестр запрещенных сайтов
Гость
1
комментарий
0
читателей
Полный профиль
Гость - Гон, все работает и будет работать. Да и пусть банят, будет как с рутрекером.
Инфографика: самые распространенные SEO-ошибки Рунета
Alex Wise
3
комментария
0
читателей
Полный профиль
Alex Wise - Спасибо, Женя, за рекомендацию! :) Андрей, чтобы понять, какой программой пользоваться, нужно сделать несколько вещей: 1. Попробовать обе: у нас в Netpeak Spider бесплатный триал на 14 дней с полным функционало; у SFSS до 500 URL всегда бесплатно, но с ограниченным функционалом. 2. Понять свой стиль работы – если вы любите полный контроль и из-за этого более высокую скорость пробивки, тогда выбирайте Netpeak Spider. Если для вас не так важна скорость и количество пробитых URL, то можно остановиться на SFSS. 3. Определиться с нужными функциями: их в обоих программах очень много и как в Netpeak Spider есть уникальные, так и в SFSS есть свои уникальные. Мы всегда ориентируемся на то, чтобы быстро и чётко показать ошибки – для этого у нас вся таблица красится в соответствующие цвета. Думайте!) И, если что, обращайтесь с вопросами – мы будем рады помочь!)
Конкурс: угадайте пятерку лидеров рейтинга «SEO глазами клиентов 2017»
Оля
1
комментарий
0
читателей
Полный профиль
Оля - 1 Ingate 2 Wezom 3 Bynjg vtlbf 4 seo energy 5 директ лайн
ТОП КОММЕНТАТОРОВ
Комментариев
910
Комментариев
834
Комментариев
554
Комментариев
540
Комментариев
483
Комментариев
373
Комментариев
308
Комментариев
262
Комментариев
224
Комментариев
171
Комментариев
156
Комментариев
137
Комментариев
121
Комментариев
97
Комментариев
97
Комментариев
95
Комментариев
80
Комментариев
77
Комментариев
67
Комментариев
60
Комментариев
59
Комментариев
55
Комментариев
53
Комментариев
52
Комментариев
46

Отправьте отзыв!
Отправьте отзыв!