SEO Conference: как обеспечить безопасность клиентских сайтов
![zemskov-145.png zemskov-145.png](/upload/medialibrary/e7f/e7f2437318f1eeaef37c7f3dba684f59.png)
На SEO Conference 2016, которая проходит с 29 по 30 сентября в Казани, обсуждались не только вопросы поискового продвижения. Григорий Земсков (Ревизиум) выступил с докладом «Как обеспечить безопасность клиентских сайтов в процессе оказания услуг».
Свое выступление Григорий начал с заявления, что около 20% сайтов сайтов взламываются по вине их владельцев или администраторов. Ведь чаще всего до безопасности сайта никому нет дела. Владелец сайта занимается организационными вопросами, а специалистам, работающим над продвижением и развитием ресурса, обычно не до того или просто не хватает компетенций.
Отношение сотрудников рядовой компании к безопасности наглядно демонстрирует схема «миграции» паролей:
Клиент передает пароль менеджеру/рабочей группе, рабочая группа обращается к внешним подрядчикам или другой рабочей группе. Стоит взломать аккаунт одного из агентов – злоумышленник получает доступ ко всем данным.
Какими еще способами утекают пароли? Есть несколько вариантов:
1. Уязвимости ПО/хостинга
2. Заражение роутера
3. Компропетация сервера
4. Взлом почтового ящика
5. Взлом или заражение компьютера
6. Социальная инженерия
7. Перехват доступов по wi-fi
8. Подбор пароля (брутфорс атака)
9. Раскрытие доступов третьим лицам
Халатное отношение к безопасности сайта может повлечь разные последствия, начиная от технических проблем и заканчивая потерей бюджетов.
Еще одна проблема, с которой сталкиваются владельцы сайтов, − повторный взлом сайтов. Причины:
- Не поменяли пароли
- Восстановили сайт из резервной копии
- Перенесли на prod-сервер зараженную версию с dev-сервера
- Отключили защиту
- Любая из причин, по которой взломали в первый раз
Комплексная безопасность сайта состоит из технических средств и организационных мер.
Подробно Григорий рассказал про организационные меры:
- Безопасное рабочее место (выбор ОС, регулярное обновление ОС, антивирусное ПО, использование менеджеров паролей, отдельный рабочий компьютер или терминал, мониторинговые расширения);
- Сетевое подключение (выбор безопасного сетевого подключения (роутер, 3G/LTE), использование VPN для открытых сетей);
- Управление доступами (регулярная смена паролей от панели хостинга, FTP, SSH, админ-панели сайта, базы данных, сложные и разные пароли, включить логгирование операций, у подрядчиков минимальные необходимые доступы с минимальным сроком валидности, заменить доступы сразу после завершения работы, двухфакторная аутэнтификация, SSH-ключи для подключения, не использовать FTP);
- Инструктаж (составить инструкцию по безопасности, познакомить субподрядчиков с предписаниями и инструкцией, проверить выполнение);
- Резервное копирование (выбрать стратегию резервного копирования, выбрать место для хранения (не на сервере), проверить резервные копии);
- Аудит безопасности (аудит перед публичным анонсом проекта, регулярные проверки на вирусы и взлом в процессе работы, аудит после работы подрядчиков).
В завершение выступления Григорий напомнил о том, что «словарные пароли» сложно считать безопасными:
Читайте и другие доклады обзоры с конференции:
Случилось что-то важное? Поделитесь новостью с редакцией.
![](/images/avatar/8.png)
![](/upload/resize_cache/main/40b/60_60_2/40ba9e6ccd40245b03725d4fb1487296.jpg)
![](/upload/resize_cache/main/713/60_60_2/713cf673b9cc25f51e3ab30512c44960.jpg)
![](/images/avatar/5.png)
![](/upload/resize_cache/main/713/60_60_2/713cf673b9cc25f51e3ab30512c44960.jpg)
![](/images/avatar/9.png)
![](/images/avatar/8.png)
![](/images/avatar/9.png)
![](/upload/resize_cache/main/076/60_60_2/07676f60d798d16ad8207d78bc007548.jpeg)
![](/upload/resize_cache/main/40b/60_60_2/40ba9e6ccd40245b03725d4fb1487296.jpg)
![](/images/avatar/3.png)
![](/images/avatar/4.png)
![](/images/avatar/7.png)
![](/upload/resize_cache/main/585/42_42_2/585f431424743e842039591d897b0018.jpg)
![](/upload/resize_cache/main/a7d/42_42_2/a7d58966649e99f3a4bc367b19fdace1.jpg)
![](/upload/resize_cache/main/713/42_42_2/713cf673b9cc25f51e3ab30512c44960.jpg)
![](/upload/resize_cache/main/a8f/42_42_2/a8fff0ebc3ae749f6c6e9235ee028d04.jpg)
![](/images/avatar/2.png)
![](/upload/resize_cache/main/517/42_42_2/5176ed0818edf65ffafd8091d485a4ef.png)
![](/images/avatar/9.png)
![](/upload/resize_cache/main/06d/42_42_2/06deae019622f209c1d2dbf0b02efa26.jpg)
![](/upload/resize_cache/main/c81/42_42_2/c816924d3b35c0fb60ed8597fcf48a5c.jpg)
![](/upload/resize_cache/main/802/42_42_2/802244fb8bbbdf42e704c3d7629712a7.jpg)
![](/upload/resize_cache/main/213/42_42_2/2131d1f6eb6785d43aa67c97635ba6a0.png)
![](/upload/resize_cache/main/d35/42_42_2/d3592bbe1f46c09319b2e411691696ae.jpg)
![](/upload/resize_cache/main/e73/42_42_2/e73ce1fffeff410ec230dab60b43bb2c.jpg)
![](/images/avatar/2.png)
![](/upload/resize_cache/main/974/42_42_2/9748368d2314dfb79ed5da3eaf65c5c4.jpg)
![](/upload/resize_cache/main/950/42_42_2/95075458576d86f53a212f253fa06fae.png)
![](/upload/resize_cache/main/0bc/42_42_2/0bc9321f23deb17434fdc831ed3f9242.jpg)
![](/upload/resize_cache/main/52c/42_42_2/52c72b135acd8f0d14938c084ad5c668.png)
![](/images/avatar/9.png)
![](/images/avatar/3.png)
![](/upload/resize_cache/main/527/42_42_2/5270eff60c8599d94be00b89d941c224.png)