Безопасность сайта - обзор угроз и методов защиты


08.06.20. Началась атака перебором паролей против WordPress, MySQL и PostgreSQL


Эксперт по информационной безопасности компании Akamai Ларри Кэшдоллар (Larry Cashdollar) опубликовал исследование вредоноса Stealthworker, который активно используется для брутфорс-атак (перебором паролей) на популярные онлайн платформы. Вредоносная программа паразитирует на установках WordPress со слабыми паролями и пытается с помощью брутфорс-атак взломать другие системы управления контентом и сетевые службы. Среди потенциальных объектов атак — WordPress, cPanel, Drupal, Bitrix, OpenCart, Magento и службы MySQL, PostgreSQL, SSH и FTP.


2019. Nitra - сервис для диагностики сайта


Новый сервис Nitra обещает (с помощью искусственного интеллекта) найти слабые места на вашем корпоративном сайте и улучшить его позиции в поисковиках и удовлетворенность посетителей. На выбор предлагается 2 варианта: установка движка на собственный сервер (стоит €180 единоразово) или подключение к сайту облачного сервиса (€18/мес). Nitra проверяет скорость загрузки страниц сайта, находит дыры, через которые сайт можно взломать, дает рекомендации по повышению удобства и конверсии сайта. Также сервис обеспечивает мониторинг состояния сайта 24/7 и предупреждает при возникновении проблем.


2018. Дом.ru Бизнес представил сервис защиты от сетевых атак


Телеком-оператор Дом.ru Бизнес представил корпоративным клиентам сервис защиты от сетевых атак. В режиме реального времени сервис позволяет обеспечивать защиту от сетевых аномалий и DDoS-атак на каналы связи и информационные ресурсы – сайты, интернет-магазины, онлайн-банкинг и др. Защита от DDoS-атак от Дом.ru Бизнес является дополнительным сервисом к услуге доступа в интернет. Программно-аппаратный комплекс и специалисты телеком-оператора в режиме 24/7 обеспечивают проактивный мониторинг трафика, выявляя наличие DDoS-угроз на информационные ресурсы клиента. Как только анализатор фиксирует аномальное поведение показателей трафика, в работу вступают системы фильтрации. Клиент в Личном кабинете видит всю необходимую информацию по выявленным аномалиям, отражению атаки и ее источнике.


2018. Ростелеком представил облачное решение для защиты веб-ресурсов

Ростелеком представил новое облачное решение для защиты и ускорения веб-ресурсов. Оно позволяет корпоративным клиентам получить многоуровневую защиту веб-ресурсов от широкого спектра атак без раскрытия «чувствительных данных», таких как банковская тайна и персональные данные клиентов. В состав решения входит защита от DDoS-атак, эксплуатации уязвимостей веб-приложений и других противоправных действий киберпреступников (Web Application Firewall), ускорение сайта за счет использования сети доставки контента (CDN), а также защищенный распределенный сервис DNS. Облачное решение не требует подключения к определенному оператору связи, а также покупки оборудования и лицензий и содержания штата специалистов по информационной безопасности, что позволяет клиенту сфокусироваться на развитии своего бизнеса, а задачи по информационной безопасности передать на аутсорсинг.


2017. StormWall и SolidSoft представили облачное решение по защите веб-приложений от хакеров

Резидент ИТ-кластера Фонда «Сколково» SolidSoft и его партнер StormWall — обе компании специализируются на разработке средств защиты веб-приложений – представили облачный сервис, состоящий из продукта StormWall по защите от DDoS атак, интегрированного с SolidWall Cloud WAF — межсетевым экраном уровня приложения, а также профессиональных сервисов по мониторингу и реагированию на инциденты. Совместное решение позволяет не только гарантировать доступность критичных веб-ресурсов, защищая от распределенных атак на отказ в обслуживании, но и обеспечить защиту от хакерских атак. Решение доступно как крупным, так и небольшим проектам. Например, цена использования пакета WAF начинается от 4 тыс. руб в месяц. При этом сервис не требует покупки оборудования и лицензий, прост в подключении и настройке.


2017. Microsoft выпустил бесплатный инструмент для проверки зараженных сайтов


Разработчики браузера Microsoft Edge выпустили бесплатный инструмент под названием Sonar, предназначенный для анализа кода веб-сайтов на предмет проблем с безопасностью. Он доступен в виде онлайн сервиса, а также в виде утилиты, исходный код которой опубликован на GitHub под открытой лицензией. Sonar позволяет проводить проверку кода веб-сайтов на присутствие программных ошибок, проблем с производительностью, доступностью и безопасностью. С помощью Sonar можно застраховаться от утечек данных через заголовки и предотвратить перенаправление на вредоносные сайты. Кроме того, заявлен гибкий и современный набор правил, проведение параллельных тестов и интеграция с другими сервисами. В частности, он может работать вместе с aXe Core, AMP validator, snyk.io, SSL Labs и Cloudinary.