Создатели любого веб-сайта несут за него моральную и юридическую ответственность на все время его существования. При этом мало кто знает, что если веб-сервер компании взломают, то пострадать может не только организация и ее клиенты. Нередко взломанный сайт становится площадкой для запуска новых кибератак, причем владельцы этого часто просто не замечают.
Зачем взламывают сайт компании
Взлом сайта может быть частью более крупной кибератаки или самостоятельной криминальной активностью. Под «взломом» мы понимаем внесение в сайт изменений, не путайте его с DDoS-атакой. Итак, если взлом нацелен именно на вашу компанию, то его цели обычно такие:
- оказать давление на организацию в рамках атаки вымогателей; оповестить клиентов и партнеров о том, что компания взломана;
- скачать с сайта ценную информацию, например контакты клиентов, если она хранится в его базах данных;
- отвлечь сотрудников IT и ИБ от более важной атаки, направленной на кражу данных или саботаж;
- просто нанести репутационный урон.
Но очень часто взломщикам не нужен именно ваш сайт. Их устроит любой сайт с хорошей репутацией, на котором они могут незаметно разместить вредоносный контент. Дальше на сайте появляются фишинговые страницы-подделки, ссылки на спам-ресурсы, реклама во всплывающих окнах. В общем, он становится орудием злоумышленников. При этом основные разделы сайта могут быть не затронуты. Открывая главную страницу или основные подразделы, клиенты и сотрудники ничего не заметят. Вредоносный контент размещается в новых подпапках, а жертв в эти подразделы заманивают при помощи прямых ссылок.
Как взламывают веб-сайты
Чаще всего сайт взламывают, пользуясь уязвимостями в серверных приложениях: веб-серверах, базах данных, системах управления контентом и их дополнительных модулях. Около 43% сайтов в Сети созданы на базе системы управления контентом WordPress, поэтому неудивительно, что их взлом — очень популярная практика. Уязвимости в WordPress и тысячах его дополнений обнаруживаются регулярно, а устраняют их далеко не все авторы плагинов. И тем более не все пользователи вовремя устанавливают обновления на свои сайты.
Пользуясь уязвимостью, злоумышленники закачивают на веб-сервер так называемый веб-шелл — дополнительные файлы и скрипты, позволяющие управлять его содержимым в обход стандартных инструментов администрирования. После этого на сайте размещают вредоносный контент в дополнительных папках, стараясь не затронуть основные страницы легитимного сайта.
Еще один популярный сценарий взлома — подбор пароля администратора. Это возможно, если администратор использует простые пароли или одинаковый пароль на разных веб-ресурсах. Таким образом преступники могут разместить вредоносный контент через стандартные инструменты администрирования: создать новых пользователей на сайте, дополнительные подразделы или страницы. Но в этом случае повышается вероятность обнаружения, поэтому даже в таком варианте злоумышленники предпочитают устанавливать свой «черный ход», веб-шелл.
Ущерб от взломанного сайта
Когда атака заметная, целевая, то организация сразу теряет деньги и получает репутационный ущерб. Что касается оппортунистических атак, то в них взломанная компания страдает косвенно. Расходы на содержание сайта могут вырасти из-за спам-контента и его просмотров. Одновременно у сайта ухудшается SEO-репутация и он получает меньше посетителей из поисковых систем. В некоторых случаях сайт вообще начинают отмечать как вредоносный и его посещаемость снижается катастрофически. Впрочем, на практике бывает, что взламывают сайты, и так забытые владельцем, и тогда все эти беды с посещаемостью никого не заботят.
Как забывают веб-сайты
Интернет давно превратился в кладбище сайтов. По имеющейся статистике, в Сети опубликовано более 1,1 млрд сайтов, но 82% из них не обновляются и не обслуживаются. В случае с корпоративными сайтами к такому исходу могут привести несколько сценариев.
- Компания прекращает свою деятельность, но сайт опубликован на бесплатном хостинге и продолжает существовать.
- В небольшой компании уходит единственный сотрудник, имевший доступы от сайта. Если владельцы не примут специальные меры, сайт останется замороженным на месяцы или даже годы.
- Компания поглощена или переименована, но старый сайт «временно» оставили для клиентов. Далее новая информация компании выпускается на сайте с новым именем, а «временный» старый сайт постепенно становится забытым.
- Для маркетинговой кампании, отдельной продуктовой линейки, блога или непрофильного проекта запускают отдельный сайт. После завершения проекта сайт перестают обновлять, но не закрывают.
Признаки взлома веб-сайта
Поскольку основные страницы сайта при взломе часто не трогают, заметить, что ваш сайт взломали, может быть нелегко. Сигналы, которые требуют глубже изучить ситуацию: сайт медленнее работает, у него резко выросла или снизилась посещаемость без явных причин, на сайте внезапно появились новые ссылки или баннеры, в панель управления невозможно зайти, в панели управления сайтом видны новые папки, файлы или пользователи. Ну и самый очевидный сигнал — к вам обращаются посторонние люди или организации и жалуются, что на сайте есть вредоносный контент. Для анализа ситуации и окончательной постановки диагноза нужно изучать журналы веб-сервера, но эту работу лучше доверить специалистам. Как и в борьбе с насекомыми, тщательно удалить с сайта веб-шелл и прочие лазейки хакеров без опыта трудно.
Как защититься от взлома сайтов
Даже небольшие компании без крупного бюджета на ИБ могут позволить себе простые меры, сильно снижающие вероятность взлома сайта.
- Установите на доступ к административной части сайта длинный надежный пароль и включите двухфакторную аутентификацию. У каждого администратора должен быть свой пароль.
Нельзя допускать, чтобы доступ имел только один человек (разве что компания имеет одного сотрудника). Не забывайте блокировать доступ, если ответственный сотрудник уволился.
- Обязательно обновляйте все программные компоненты сайта, включая ОС, веб-сервер, базы данных, систему управления контентом и дополнения. Проводить обновления нужно регулярно, сразу после их публикации. Если для этого нет специалистов и времени, лучше разместить сайт на профильном хостинге, где все это ляжет на плечи выделенных сотрудников. Например, для того же WordPress есть специализированные защищенные хостинг-платформы, такие как WPengine.
- Ведите в компании общий реестр всех веб-сайтов. Каждый созданный сайт, даже если это что-то временное для одной рекламной кампании на месяц, должен быть включен в реестр.
- Каждый сайт в реестре должен получать регулярные обновления программных компонентов, даже если нет бизнес-надобности обновлять на нем информацию.
- Если сайт больше не нужен и ресурсов обновлять его нет, постарайтесь его аккуратно закрыть. Сохраните информацию в архив, после чего отключите хостинг. При необходимости можно также снять делегирование домена. Другой способ закрытия побочного сайта — удалить с него весь контент, отключить любые программные надстройки вроде WordPress и установить переадресацию на основной сайт организации.