Сайт считается взломанным, если посторонний человек без вашего ведома и неважно каким путем, получил доступ к файлам вашего сайта, которые хранятся на сервере.
Зачем взламывают сайты? Как правило, сайты взламывают для того, чтобы заражать вирусом компьютеры пользователей, которые на них заходят. Еще одна очень цель — рассылка спама с помощью вашего сервера, а также размещение скрытых ссылок на различные сайты злоумышленников. В остальных случаях — это целенаправленный взлом, чтобы украсть информацию, либо требование денег, чтобы хакеры перестали взламывать сайт. Ну и конечно же конкуренты могут портить бизнес друг другу.
Способы взлома сайтов и защита от них
Самый важный бастион безопасности — хостинг. Старайтесь никому не давать пароли от хостинг-аккаунта и доступа по FTP. А если даете, то убедитесь, что у этого человека нет на компьютере вирусов. Также удостоверьтесь, что он надежен и не передаст ваши пароли третьим лицам, или сам не начнет вредить вашему проекту. Многие хостинг-провайдеры предоставляют функционал для временного доступа к хостингу — рекомендуем лучше использовать его. Поменяйте пароли на более сложные и сотрудничайте только с проверенными людьми.
Взлом может произойти и по вине хостинг-провайдера, но на сегодняшний день это достаточно редкая ситуация среди крупных хостеров, а у мелких и не проверенных компаний заказывать услуги мы не рекомендуем. Размещайте сайты на надежном хостинге, который имеет хорошую репутацию и много клиентов.
Ежедневно, тысячи хакеров со всего мира ищут уязвимости в системах управления сайтом (CMS), чтобы иметь универсальный способ взломать одним махом десятки тысяч сайтов. Но если хакеры постоянно ищут в коде систем «дыры», то разработчики этих систем постоянно выпускают обновления (патчи), которые эти «дыры» закрывают, улучшая безопасность. Следите за тем, чтобы на вашем сайте была актуальная версия CMS, причем скачанная с официального сайта разработчика.
Если взять любую CMS без сторонних модулей и компонентов, то взломать ее будет трудно даже хакерам высокого уровня. Основную опасность несут расширения (модули, компоненты, плагины), которые создаются сторонними разработчиками. Не используйте расширения от подозрительных разработчиков. Бесплатных плагинов очень много, и далеко не все они являются опасными для ваших сайтов. Скачивайте плагины из официальных источников или по рекомендациям знакомых, у которых эти плагины уже работают на сайте долгое время.
Старайтесь, чтобы на все папки вашего сайта были выставлены права 755, а на файлы — 644. Если установить права 777 на какой-либо файл вашего сайта, то это будет означать, что любой человек сможет прочитать, записать и выполнить этот файл. Это ведет к тому, что однажды хакер загрузит на ваш сайт код, который его взломает и даст контроль над сайтом. В первую очередь посоветуйтесь с разработчиком CMS, хостером или опытным программистом, так как изменение прав на файлы может привести к тому, что сайт будет работать некорректно.
Большинство современных сайтов используют базы данных, которые нужны для динамического формирования страниц сайта. Этот процесс происходит с помощью SQL-запросов. С помощью входных данных опытный хакер может ввести нужный ему SQL-код, который выполнится на сервере и приведет к взлому сайта. Чтобы от этого защититься, в первую очередь нужно использовать хорошо защищенную CMS. Если же вы разбираетесь в программировании, то от SQL-инъекций можно спастись с помощью фильтрации SQL-запросов.
Суть XSS-атаки (межсайтовый скриптинг) сводится к тому, что хакер подкладывает вредоносный код вместо полей для логина, пароля и прочих данных, которые могут вводить пользователи. К сожалению, таким атакам часто подвергаются даже очень известные сайты (VK, Facebook и т. д.) и противостоять им достаточно сложно. Используйте проверенную CMS или наймите опытного программиста. Если на программиста нет денег, то постарайтесь убрать со своего сайта возможность регистрироваться и иметь собственный аккаунт для любых пользователей.
Абсолютно не зря везде и всегда утверждают — нужно проверять компьютер на вирусы. Если на вашем компьютере есть вирусы, то с очень большой долей вероятности этот вредоносный код уже украл ваши логины и пароли от всего — почта, интернет-банкинги, административная панель сайта, базы данных, доступы ко всем вашим личным кабинетам. Старайтесь не хранить пароли на компьютере и тем более в браузере. Регулярно проверяйте компьютер на вирусы. Антивирус тоже надо постоянно обновлять. Пользуйтесь только проверенным и надежным антивирусным ПО или же вообще переходите на UNIX-подобные системы. Не скачивайте и не устанавливайте подозрительное ПО, не скачивайте картинки из писем от неизвестного отправителя и, и тем более, не переходите по ссылкам из таких писем.