Как предотвратить заражение вредоносным программным обеспечением

Беспокоитесь о безопасности своего сайта? Рекомендации из этой статьи помогут вам избежать заражения вредоносным ПО. Тем не менее она не является исчерпывающим руководством, и мы рекомендуем также изучить другие материалы по теме.

Контроль состояния сайта

Многие функции Search Console помогают находить возможные проблемы. Примеры:

  • Попробуйте выполнить поиск в Google с помощью оператора site:, чтобы узнать, какие ваши страницы появляются в результатах поиска. Рекомендуем время от времени повторять это действие и убеждаться, что никто не добавил на ваш сайт свои страницы или недопустимый контент. Если вы обнаружили такие страницы или материалы, ваш сайт мог быть взломан. С помощью оператора site: вы сможете выполнить поиск только по одному определенному сайту. Например, в результаты поиска site:googleblog.blogspot.com попадут только страницы официального блога Google.
  • В отчете о проблемах безопасности представлены все взломанные страницы вашего сайта, обнаруженные Google, а также приведены инструкции по устранению неполадок.
  • Если Google найдет на вашем сайте вредоносное ПО, мы сообщим вам об этом на главной странице Search Console, а также отправим уведомление в Центр сообщений. (Если вы хотите как можно быстрее узнавать о проблемах, настройте пересылку уведомлений из Центра сообщений на ваш адрес электронной почты.)

Список мер по обеспечению безопасности

В дополнение к регулярному контролю работы сайта советуем выполнять следующие рекомендации:

Всем веб-мастерам

  • Используйте надежные пароли. Следуйте рекомендациям по работе с аккаунтом Google.
  • Тщательно выбирайте независимых поставщиков контента. Перед установкой приложения от независимого поставщика (например виджет, счетчик или рекламную сеть), тщательно проверьте его. Место для размещения объявлений часто предоставляется третьим лицам, неизвестным владельцу веб-сайта. В Интернете можно найти разнообразное качественное содержание от независимых поставщиков. Тем не менее они могут использовать такие приложения для планирования атак, направленных против ваших пользователей (опасные скрипты и т.д.). Выбирайте приложения из надежных источников. Существует ли официальный веб-сайт с поддержкой клиентов и контактной информацией? Использовали ли эту службу другие веб-мастера?
  • Обратитесь за поддержкой к провайдеру хостинга или разработчику платформы для публикаций. У большинства компаний есть страницы безопасности и/или группы поддержки, готовые оказать необходимую помощь. Если на странице безопасности или сайте работает канал RSS, подпишитесь на него, чтобы быть в курсе.
  • Обеспечьте безопасность всех компьютеров. Убедитесь, что на локальной рабочей станции (особенно при работе на веб-сайте) установлены последние версии ПО, антивирусные программы, а также отсутствуют вирусы, трояны и другое вредоносное ПО.

Веб-мастерам с доступом к серверу

  • Проверьте конфигурацию сервера. Инструкции по настройке безопасности сервера от Apache, а также технические ресурсы для IIS при использовании серверов Microsoft вы найдете на официальных сайтах этих производителей. Некоторые из них содержат информацию о разрешениях каталога, включениях на стороне сервера, аутентификации и шифровании.
  • Создайте резервную копию файла HTACCESS (или других механизмов управления доступом в зависимости от платформы вашего сайта). Файл резервной копии позволит вам восстановить данные в случае возникновения ошибки. Удалите файл резервной копии после восстановления.
  • Устанавливайте последние обновления ПО и исправления. Существует множество инструментов, облегчающих создание веб-сайтов, но вместе с этим повышающих риск проведения атак. Многие веб-мастера допускают одну и ту же ошибку: создают на сайте форум или блог и забывают об этом. Как автомобилю необходимо техобслуживание, так и сайту нужны последние обновления установленных программ. Составьте полный список ПО и подключаемых модулей, используемых на вашем веб-сайте, с номерами версий и следите за обновлениями. Тем не менее, своевременное обновление компонентов веб-сайта не обеспечивает защиту от уязвимостей, если провайдер хостинга не устанавливает последние исправления операционной системы. Такая проблема не затрагивает лишь небольшие сайты; однако с сайтов банков, спортивных команд, корпораций и правительственных сайтов поступали соответствующие предупреждения.
  • Следите за файлами журналов. Регулярная проверка этих файлов поможет вам повысить уровень безопасности. Например, если в URL вы заметили подозрительные параметры (например "=http:" или "=//"), либо скачки трафика переадресации на ваш сайт, возможно, хакер использует открытые переадресации. Имейте в виду, что хакеры часто пытаются внести изменения в файлы журналов. Защитите эти файлы от атак. Например, можно переместить такие файлы, чтобы хакерам было сложнее их найти.
  • Проверьте сайт на наличие распространенных уязвимостей. Избегайте использования каталогов с открытыми разрешениями. Это как уйти из дома, оставив дверь открытой настежь.

    Убедитесь в отсутствии следующих уязвимостей: XSS (создание межсайтовых скриптов) и внедрение кода SQL.

  • Используйте безопасные протоколы. Для передачи данных Google рекомендует использовать SSH и SFTP, а не простые протоколы, например telnet или FTP. В SSH и SFTP используется шифрование, поэтому эти протоколы надежнее. Эти и многие другие полезные советы можно прочитать на странице Советы по очистке и защите веб-сайта, расположенной на сайте stopbadware.org.
  • Оставайтесь в курсе последних новостей о защите сайта. В блоге Google о безопасности в Интернете вы найдете множество полезной информации о защите и безопасности в сети, а также ссылки на другие ресурсы. На правительственном сайте US-CERT (Группа реагирования на компьютерные происшествия, США) публикуются предупреждения и советы по обеспечению безопасности.
Была ли эта статья полезна?
Как можно улучшить эту статью?