Рекомендации

Рекомендации по защите веб-сайтов

Учитывая изложенное, а также в целях устранения угроз информационной безопасности, рекомендуется принять следующие организационно-технические меры по защите веб-сайтов:

Регулярное установление обновлений

Начальные действия злоумышленника при планировании атаки – это проверка наличия на веб-сайте неисправленных и общеизвестных уязвимостей. Как правило, любая обнаруженная уязвимость для популярных CMS и плагинов, провоцирует активный поиск злоумышленниками веб-сайтов с устаревшими CMS, и как следствие такие веб-сайты становятся объектами массового нецеленаправленного взлома, известного как «mass defacement».

Резервное копирование (backup)

Суть резервного копирования сайта сводится к копированию баз данных, файлов сайта, почты, FTP-аккаунтов и множества других параметров хостинга. Резервное копирование можно делать встроенными в CMS сайта средствами, специальным плагином, через инструментарий, предлагаемый хостинг-провайдером, или любым другим удобным способом.

Удаление неиспользуемых плагинов

Любой новый плагин или расширение увеличивает вероятность риска атаки со стороны злоумышленников. В этой связи, рекомендуется отключить и удалить неиспользуемые плагины и по возможности использовать встроенные механизмы вместо установки плагина на каждый частный случай.

Усиление парольной аутентификации

Для административного аккаунта в CMS, личного кабинета на сайте сервис-провайдера и учётной записи на сервере (например, для выделенного или «co-location» хостинга) настоятельно рекомендуется использовать сложный и неповторяющийся на других сервисах и сайтах пароль. При изменении пароля рекомендуется использовать правила формирования паролей для учетных записей, предусматривающую генерацию паролей с использованием цифр, специальных символов, букв верхнего и нижнего регистра с минимальной длинной в 8 символов. Рекомендуется настроить двухфакторную аутентификацию (при наличии такой возможности). Также рекомендуется установить ограничение количества попыток входа в панель администрирования (защита от атак методом перебора паролей, т.н. «brutforce»).

Безопасное администрирование

Доступ в административный аккаунт в CMS, личный кабинет на сайте сервис-провайдера и учётную запись на сервере рекомендуется осуществлять с устройств (компьютеры, планшеты), на которых установлены антивирусные программные средства с актуальными базами вирусных сигнатур.

Плагины безопасности

Для обеспечения защиты веб-сайта от различных атак, рекомендуется использовать плагины безопасности с функциями поиска, удаления и защиты в дальнейшем от вредоносных программ.

Проведение экспертизы веб-сайта

На постоянной основе проводить экспертизу веб-сайта на соответствие требованиям информационной безопасности, а также на наличие уязвимостей.

Рекомендации по защите корпоративных сетей

Установление необходимых программно-технических средств, а также средств защиты информации для предотвращения внутренних угроз информационной безопасности.

Повышение квалификации и уровня знании информационно-коммуникационных технологий и информационной безопасности пользователей (сотрудников), работающие непосредственно с информационными системами.

Не использовать информационные системы, взаимодействующие в рамках межведомственной сети передачи данных с другими информационными системами, через глобальную сеть интернет.