Как защитить сайт от хакеров и что делать, если уже взломали

Недавно снова столкнулись с атакой на сайт. Новый клиент пришел с проблемой: сайт полностью парализован, ничего не работает. Посмотрели и увидели типичную картину —  файлы зашифрованы вредоносным кодом. К сожалению, такая история может произойти с любым сайтом без правильного технического обслуживания. 

Почему взламывают даже небольшие сайты

Не нужно думать, что если у вас маленький сайт, то вам ничего не грозит. Потому что такие атаки нецеленаправленные: боты массово сканируют тысячи сайтов, проверяя одни и те же уязвимости. Вы можете быть молодым бизнесом или крупной корпорацией — боту все равно, кого взламывать. 

После взлома сайт становится элементом ботнета — сети устройств, которые киберпреступники используют в своих целях.

Хакеры используют ваш сайт для:

• рассылки спама;
• DDoS-атак;
• майнинга криптовалюты;
• вымогательства и т. д.

Никита Щербаков, разработчик:

Как показывает практика, даже один инцидент взлома способен обнажить все слабые места цифровой инфраструктуры компании — от недостаточной квалификации подрядчиков до полного отсутствия стратегии кибербезопасности. В большинстве случаев взлом — это не случайность, а закономерный результат недоверия к превентивным мерам и излишней уверенности в том, что ничего не случится.

Три главные причины взлома

Понимание основных векторов атак — первый и критически важный шаг к построению надежной защиты. Чаще всего киберпреступники добиваются успеха, эксплуатируя «слабые места».

Уязвимости в готовых компонентах

Сайты редко пишут с нуля. Часто используют готовые «кирпичики» — модули, плагины, темы, библиотеки. Проблема: в таких компонентах могут быть скрытые дыры в безопасности. Особенно опасны старые версии, где уязвимости уже известны хакерам, но не закрыты.

Автоматический подбор паролей

Если посмотреть в историю доступа к серверу, то даже у самого мелкого сайта можно увидеть попытки ботов залогиниться в админку. Боты не выбирают жертв, они атакуют всех подряд. Поэтому важно использовать безопасные пароли, даже если вы считаете, что ваш сайт хакерам неинтересен.

Невнимательность сотрудников

В арсенале киберпреступников есть множество способов добыть нужные данные с помощью фишинга и социальной инженерии. Эти методы не требуют знания программирования, и рассчитаны на неосторожность и неосведомленность людей. С распространением ИИ преступникам стало намного проще обманывать пользователей и увеличивать масштабы атак.

Никита Щербаков, разработчик:

Как ни странно, взломы часто связаны не с техническими уязвимостями, а с человеческим фактором. Один из самых запомнившихся кейсов — взлом через корпоративную почту руководителя компании. Злоумышленники взломали почту директора и от его имени написали IT-специалисту выдать доступ к серверу якобы новому подрядчику. Сотрудник без лишних вопросов открыл доступ — и за полчаса сайт оказался под контролем атакующих.

Был и другой случай, когда в компанию позвонили мошенники, которые представились техподдержкой, убедительно рассказали о найденной уязвимости и предложили помощь. Через удаленный доступ, якобы для диагностики, установили вредоносное ПО и получили полный контроль над сайтом. Все выглядело настолько профессионально, что сотрудники даже не заподозрили подвоха. 

Как снизить риски взлома вашего сайта

Стоит сразу обозначить, что сделать сайт на 100% неуязвимым нельзя. Во-первых, провести аудит всех модулей (включая ядро и сторонние) нереально. Во-вторых, направлений атак слишком много и всех их не закрыть. В-третьих, от некоторых видов атак никакая техническая защита не поможет, например, когда преступники используют социальную инженерию.

Но! Значительно снизить вероятность взлома и минимизировать его последствия — это абсолютно реально. Вам даже не обязательно нанимать в штат специалиста по кибербезопасности. 

Ниже рассказываем, что конкретно вы сможете сделать уже сейчас:

• Регулярно устанавливайте обновления. Обновляйте все: версии основной cms, все модули и пакеты, программное обеспечение на сервере. Да, это время и деньги (иногда нужна адаптация), но это главный щит от известных уязвимостей. Стабильность того стоит.
• Используйте только надежные пароли. Забудьте про qwerty, 12345, admin и пароли по умолчанию. Только сложные, уникальные комбинации. Идеально — менять их регулярно, особенно админские. Менеджеры паролей в помощь.
• Закройте доступ везде, где только можно. Не оставляйте открытыми сервисы, директории, стандартные порты. Ставьте базовые инструменты защиты от брутфорса, например, ограничение попыток входа, капчи. 
• Обучайте сотрудников основным правилам кибербезопасности. Помните, что около 70% всех кибератак — это атаки с использованием человеческого фактора. Поэтому обязательно проводите тренинги для сотрудников и клиентов по безопасности: расскажите про распространенные схемы фишинга и социнженерии.
• Следите за доступами внутри компании. Придерживайтесь принципа минимальных привилегий: минимизируйте круг лиц с доступом к критическим данным (админки, БД, серверы). И не забывайте вовремя отзывать доступы уволенных/сменивших роль сотрудников.
• Делайте бэкапы. Регулярные, автоматические резервные копии ВО ВНЕШНЕМ хранилище — ваша страховка. Обязательно проверяйте, что их можно восстановить. Отнеситесь к этому максимально серьезно, помните, что полная защита сайта невозможна, поэтому бэкап — это ваш план Б (а у многих компаний — и В, и Г).
• Выбирайте надежных подрядчиков. Ваша безопасность прочна ровно настолько, насколько прочно ее самое слабое звено. И зачастую этим звеном оказываются не ваши внутренние системы, а третьи стороны, которым вы доверяете доступ к вашим ресурсам и данным. Поэтому выбирайте надежных подрядчиков и проверяйте их перед тем, как выдать доступы.

Никита Щербаков, разработчик:

Известны инциденты, когда взлом происходит через третьих лиц. В одном из случаев, подрядчик от рекламного агентства подключил фрилансера для работы с кодом, и тот встроил в сайт скрытую рекламу и криптомайнер. Обнаружилось это только спустя несколько месяцев, когда хостинг-провайдер заблокировал сайт за постоянное превышение допустимой нагрузки. 

Не пренебрегайте основами — они превратят ваш сайт из легкой мишени в задачку со звездочкой.

Памятка на случай взлома сайта

Что делать, если взлом все же произошел? Самое важное — сохранять хладнокровие. Ни в коем случае не ведитесь на требования вымогателей, если таковые поступили. Это редко приводит к решению проблемы и часто усугубляет ее.

Никита Щербаков, разработчик:

Одна из самых распространенных ошибок — попытка решить проблему «своими силами» без достаточной квалификации. Вместо того чтобы изолировать сайт, провести технический аудит и привлечь специалистов, владелец пытается наспех восстановить работу: откатывает резервную копию, удаляет «лишние» файлы, не задумываясь, что вредоносный код может быть глубоко интегрирован в систему.

Иногда люди впадают в панику и идут на поводу у злоумышленников — платят выкуп, надеясь на обещание все вернуть как было. По данным из открытых источников, только в 17% случаев пострадавшие действительно получают обещанное. Остальные, увы, просто теряют деньги и часто сталкиваются с повторной атакой через считанные дни или недели.

Как правило, все это приводит к серьезным последствиям — от утраты данных и блокировки сайта хостингом до репутационных и юридических рисков, если, например, произошла утечка персональных данных клиентов.

Шаг 1. Восстанавливаем данные

Самый эффективный и обычно самый быстрый путь — восстановление сайта из последней чистой резервной копии (бэкапа). Однако важно понимать: в бэкапе уже могли присутствовать уязвимости или бэкдоры, использованные злоумышленниками. 

Шаг 2. Проверяем код на уязвимости

После восстановления из бэкапа нужно тщательно проверить архив сайта с помощью специализированных сканеров на предмет скрытых бэкдоров (вредоносного кода). Идеальная стратегия — развернуть абсолютно свежую, чистую версию CMS, а затем аккуратно перенести на нее только ваш уникальный кастомный код и контент (темы, плагины/модули, медиафайлы, базу данных после очистки от подозрительных записей). Проверить файлы конкретного проекта на чистоту почти всегда значительно быстрее и надежнее, чем анализировать все зависимости и ядро системы.

Шаг 3. Полностью меняем пароли

Восстановление функциональности — только половина дела. Сразу смените все пароли, связанные с сайтом и его инфраструктурой. Это касается не только админки CMS, но и паролей к хостингу, серверу, базам данных, почтовым ящикам, используемым сервисам (CDN, DNS и т. д.). Удалите все неиспользуемые или подозрительные учетные записи (FTP, SSH, пользователей CMS). 

Шаг 4. Обновляем все до актуальных версий

Когда причина взлома устранена, а пароли изменены, самое время заняться укреплением защиты. Обновите все до актуальных версий: ядро CMS, все плагины, модули, темы и сторонние библиотеки. Уязвимости в устаревшем ПО — самая частая причина взломов. 

Шаг 5. Проводим аудит безопасности и укрепляем защиту

Затем проведите аудит безопасности: проанализируйте логи сервера и приложения, чтобы понять вектор атаки, устраните найденные уязвимости (некорректные права доступа к файлам, слабые пароли, незащищенные формы), усильте настройки сервера и CMS, внедрите дополнительные меры защиты (WAF, двухфакторную аутентификацию, регулярное сканирование). Не забудьте провести обучение сотрудников и напомнить им правила кибербезопасности.

Никита Щербаков, разработчик:

К сожалению, как показывает практика, компании начинают относиться к кибербезопасности внимательнее только после ощутимого ущерба. До этого к ней относятся как к чему-то абстрактному: «подумаешь, сайт, что с ним станет». После взлома подход меняется. Люди начинают иначе воспринимать риски и уже готовы вкладываться в профилактику. 

На первый план выходят покупка лицензии и регулярные обновления CMS и модулей, подключается защита на уровне сервера, вводится ограничение доступа в административную часть, подключаются антивирусные сканеры и производятся регулярные бэкапы. Иногда даже меняется подрядчик — просто потому, что становится ясно: доверять сайт человеку «на подработке» уже нельзя.

По статистике, более 60% взломов происходят из-за устаревших версий системы или сторонних компонентов. 

❗️После взлома недостаточно просто «вернуть все как было». Необходимо найти причины и построить более надежную защиту вашего цифрового актива. Регулярные обновления, мониторинг и проверки — ваша лучшая страховка от повторения ситуации.

Никита Щербаков, разработчик:

Важно понимать: если не выстроить системный подход к безопасности, через какое-то время бдительность снова снижается. Основываясь на реальных кейсах и практике, к сожалению, через 6–12 месяцев после восстановления компании «забывают» про часть мер, пока не случается новый инцидент. По данным Kaspersky Lab, около 35% компаний, уже переживших киберинцидент, повторно становятся жертвами в течение года именно из-за отсутствия долгосрочной стратегии.

Если у вас типовой сайт — вы в зоне риска прямо сейчас. Боты не спят и не выбирают. Напоминаем, что в ALT studio вы можете проверить свой сайт на безопасность, обновить или приобрести необходимые лицензии.