Как предотвратить заражение вредоносным программным обеспечением

Беспокоитесь о безопасности своего сайта? Рекомендации из этой статьи помогут вам избежать заражения вредоносным ПО. Тем не менее она не является исчерпывающим руководством, и мы рекомендуем также изучить другие материалы по теме.

Контроль состояния сайта

Многие функции Search Console помогают находить возможные проблемы. Примеры:

  • Попробуйте выполнить поиск в Google с помощью оператора site:, чтобы узнать, какие страницы вашего сайта появляются в результатах. Рекомендуем время от времени повторять это действие и убеждаться, что никто не добавил на ваш сайт свои страницы или недопустимый контент. Если вы обнаружили такие страницы или материалы, ваш сайт мог быть взломан. С помощью оператора site: вы сможете выполнить поиск только по одному определенному сайту. Например, в результаты по запросу site:googleblog.blogspot.com попадут только страницы официального блога Google.
  • В отчете о проблемах безопасности представлены все взломанные страницы вашего сайта, обнаруженные Google, а также приведены инструкции по устранению неполадок.
  • Если мы найдем на вашем сайте вредоносное ПО, то оповестим вас об этом на главной странице Search Console, а также отправим уведомление в центр сообщений. Чтобы узнавать о проблемах быстро, настройте пересылку уведомлений из центра сообщений на ваш адрес электронной почты.

Список мер по обеспечению безопасности

В дополнение к регулярному контролю работы сайта советуем выполнять следующие рекомендации:

Всем веб-мастерам

  • Используйте надежные пароли. Следуйте рекомендациям по работе с аккаунтом Google.
  • Тщательно выбирайте сторонних поставщиков контента. Перед установкой приложения от независимого поставщика (например виджет, счетчик или рекламную сеть), тщательно проверьте его. Место для размещения объявлений часто предоставляется третьим лицам, неизвестным владельцу веб-сайта. В Интернете можно найти разнообразное качественное содержание от независимых поставщиков. Тем не менее они могут использовать такие приложения для планирования атак, направленных против ваших пользователей (опасные скрипты и т.д.). Выбирайте приложения из надежных источников. Существует ли официальный веб-сайт с поддержкой клиентов и контактной информацией? Использовали ли эту службу другие веб-мастера?
  • Обращайтесь за поддержкой к хостинг-провайдеру или разработчику платформы для публикаций. У большинства компаний есть страницы безопасности и/или группы поддержки, готовые оказать необходимую помощь. Если на странице безопасности или сайте работает канал RSS, подпишитесь на него, чтобы быть в курсе.
  • Обеспечьте безопасность всех компьютеров. Убедитесь, что на локальной рабочей станции (особенно при работе на веб-сайте) установлены последние версии ПО, антивирусные программы, а также отсутствуют вирусы, трояны и другое вредоносное ПО.

Веб-мастерам с доступом к серверу

  • Проверьте конфигурацию сервера. Инструкции по настройке безопасности сервера от Apache, а также технические ресурсы для IIS при использовании серверов Microsoft вы найдете на официальных сайтах этих производителей. Некоторые из них содержат информацию о разрешениях каталога, включениях на стороне сервера, аутентификации и шифровании.
  • Создайте резервную копию файла HTACCESS (или других механизмов управления доступом в зависимости от платформы вашего сайта). Файл резервной копии позволит вам восстановить данные в случае возникновения ошибки. Удалите файл резервной копии после восстановления.
  • Устанавливайте последние обновления ПО и исправления. Существует множество инструментов, облегчающих создание веб-сайтов, но вместе с этим повышающих риск проведения атак. Многие веб-мастера допускают одну и ту же ошибку: создают на сайте форум или блог и забывают об этом. Как автомобилю необходимо техобслуживание, так и сайту нужны последние обновления установленных программ. Составьте полный список ПО и подключаемых модулей, используемых на вашем веб-сайте, с номерами версий и следите за обновлениями. Тем не менее, своевременное обновление компонентов веб-сайта не обеспечивает защиту от уязвимостей, если провайдер хостинга не устанавливает последние исправления операционной системы. Такая проблема не затрагивает лишь небольшие сайты. На сайтах банков, спортивных команд, корпораций и государственных органов появляются предупреждения.
  • Следите за файлами журналов. Регулярная проверка этих файлов поможет вам повысить уровень безопасности. Например, если вы заметили подозрительные параметры URL, такие как =http: и =//, или скачки трафика через URL переадресации на вашем сайте, возможно, хакер использует скрытую переадресацию. Имейте в виду, что хакеры часто пытаются внести изменения в файлы журналов. Защитите эти файлы от атак. Например, можно переместить такие файлы, чтобы хакерам было сложнее их найти.
  • Проверяйте сайт на наличие распространенных уязвимостей. Избегайте использования каталогов с открытыми разрешениями. Это как уйти из дома, оставив дверь открытой настежь.

    Также следите за тем, чтобы отсутствовали уязвимости, которые делают возможным межсайтовый скриптинг (XSS) и внедрение кода SQL.

  • Используйте защищенные протоколы. Для передачи данных Google рекомендует использовать SSH и SFTP, а не простые протоколы, такие как telnet или FTP. SSH и SFTP – протоколы с шифрованием, то есть значительно более безопасные.
  • Будьте в курсе последних новостей о защите сайтов. В блоге Google о безопасности в Интернете вы найдете много полезной информации на эту тему, а также ссылки на другие ресурсы. На правительственном сайте US-CERT (Группа реагирования на компьютерные происшествия, США) публикуются предупреждения и советы по обеспечению безопасности.
Эта информация оказалась полезной?
Как можно улучшить эту статью?