Безопасность сайта - обзор угроз и методов защиты


13.09.21. В новой версии WordPress разработчики закрыли 3 проблемы безопасности



Команда WordPress объявила о выходе новой версии 5.8.1. В обновлении разработчики закрыли ряд проблем безопасности: в REST API, блочном редакторе Gutenberg и библиотеке Lodash JavaScript. Кроме того было исправлено 60 ошибок. Все три проблемы безопасности являются довольно серьезными, поэтому команда WordPress рекомендует обновить сайты до последней версии.


2020. Началась атака перебором паролей против WordPress, MySQL и PostgreSQL



Эксперт по информационной безопасности компании Akamai Ларри Кэшдоллар (Larry Cashdollar) опубликовал исследование вредоноса Stealthworker, который активно используется для брутфорс-атак (перебором паролей) на популярные онлайн платформы. Вредоносная программа паразитирует на установках WordPress со слабыми паролями и пытается с помощью брутфорс-атак взломать другие системы управления контентом и сетевые службы. Среди потенциальных объектов атак — WordPress, cPanel, Drupal, Bitrix, OpenCart, Magento и службы MySQL, PostgreSQL, SSH и FTP.


2019. Nitra - сервис для диагностики сайта



Новый сервис Nitra обещает (с помощью искусственного интеллекта) найти слабые места на вашем корпоративном сайте и улучшить его позиции в поисковиках и удовлетворенность посетителей. На выбор предлагается 2 варианта: установка движка на собственный сервер (стоит €180 единоразово) или подключение к сайту облачного сервиса (€18/мес). Nitra проверяет скорость загрузки страниц сайта, находит дыры, через которые сайт можно взломать, дает рекомендации по повышению удобства и конверсии сайта. Также сервис обеспечивает мониторинг состояния сайта 24/7 и предупреждает при возникновении проблем.


2018. Дом.ru Бизнес представил сервис защиты от сетевых атак



Телеком-оператор Дом.ru Бизнес представил корпоративным клиентам сервис защиты от сетевых атак. В режиме реального времени сервис позволяет обеспечивать защиту от сетевых аномалий и DDoS-атак на каналы связи и информационные ресурсы – сайты, интернет-магазины, онлайн-банкинг и др. Защита от DDoS-атак от Дом.ru Бизнес является дополнительным сервисом к услуге доступа в интернет. Программно-аппаратный комплекс и специалисты телеком-оператора в режиме 24/7 обеспечивают проактивный мониторинг трафика, выявляя наличие DDoS-угроз на информационные ресурсы клиента. Как только анализатор фиксирует аномальное поведение показателей трафика, в работу вступают системы фильтрации. Клиент в Личном кабинете видит всю необходимую информацию по выявленным аномалиям, отражению атаки и ее источнике.


2018. Ростелеком представил облачное решение для защиты веб-ресурсов

Ростелеком представил новое облачное решение для защиты и ускорения веб-ресурсов. Оно позволяет корпоративным клиентам получить многоуровневую защиту веб-ресурсов от широкого спектра атак без раскрытия «чувствительных данных», таких как банковская тайна и персональные данные клиентов. В состав решения входит защита от DDoS-атак, эксплуатации уязвимостей веб-приложений и других противоправных действий киберпреступников (Web Application Firewall), ускорение сайта за счет использования сети доставки контента (CDN), а также защищенный распределенный сервис DNS. Облачное решение не требует подключения к определенному оператору связи, а также покупки оборудования и лицензий и содержания штата специалистов по информационной безопасности, что позволяет клиенту сфокусироваться на развитии своего бизнеса, а задачи по информационной безопасности передать на аутсорсинг.


2017. StormWall и SolidSoft представили облачное решение по защите веб-приложений от хакеров

Резидент ИТ-кластера Фонда «Сколково» SolidSoft и его партнер StormWall — обе компании специализируются на разработке средств защиты веб-приложений – представили облачный сервис, состоящий из продукта StormWall по защите от DDoS атак, интегрированного с SolidWall Cloud WAF — межсетевым экраном уровня приложения, а также профессиональных сервисов по мониторингу и реагированию на инциденты. Совместное решение позволяет не только гарантировать доступность критичных веб-ресурсов, защищая от распределенных атак на отказ в обслуживании, но и обеспечить защиту от хакерских атак. Решение доступно как крупным, так и небольшим проектам. Например, цена использования пакета WAF начинается от 4 тыс. руб в месяц. При этом сервис не требует покупки оборудования и лицензий, прост в подключении и настройке.


2017. Microsoft выпустил бесплатный инструмент для проверки зараженных сайтов



Разработчики браузера Microsoft Edge выпустили бесплатный инструмент под названием Sonar, предназначенный для анализа кода веб-сайтов на предмет проблем с безопасностью. Он доступен в виде онлайн сервиса, а также в виде утилиты, исходный код которой опубликован на GitHub под открытой лицензией. Sonar позволяет проводить проверку кода веб-сайтов на присутствие программных ошибок, проблем с производительностью, доступностью и безопасностью. С помощью Sonar можно застраховаться от утечек данных через заголовки и предотвратить перенаправление на вредоносные сайты. Кроме того, заявлен гибкий и современный набор правил, проведение параллельных тестов и интеграция с другими сервисами. В частности, он может работать вместе с aXe Core, AMP validator, snyk.io, SSL Labs и Cloudinary.