До 30 ноября

Скидки до 81 000 руб и вторая профессия в подарок!

Главная | Все статьи | Карьера

Безопасность хостинга: как это устроено и на что обращать внимание при выборе провайдера

Время чтения статьи ~8 минут
Безопасность хостинга: как это устроено и на что обращать внимание при выборе... главное изображение

Ранее мы разобрались в видах услуг хостинга и рассказали, как выбрать подходящую именно для вашего проекта. Наиболее популярной считается виртуальный хостинг (shared hosting) — когда на одном физическом сервере размещено множество услуг клиентов. Это позволяет оптимизировать мощности сервера и сохранить доступные цены для любого пользователя. Производительности shared-хостинга обычно достаточно небольшим сайтам, хотя диапазон тарифов рассчитан как на маленькие проекты, так и на серьёзные магазины на 1С-Битриксе.

При таком устройстве хостинга важен высокий уровень безопасности для каждого клиента: изоляция файлов друг от друга, антивирусная защита, резервное копирование. Сегодня узнаем, как всё устроено на примере REG.RU, и какие самые главные критерии надёжности для провайдера. Рассказывает специалист службы технической поддержки хостинга REG.RU Семён М.

Как устроена безопасность хостинга REG.RU

Дата-центры

Любая информационная безопасность начинается с физической защиты. Серверы хостинга находятся в охраняемых дата-центрах. Физический доступ к ним есть только у сотрудников. Кроме того, ЦОДы защищены от отключения питания и отказа оборудования, имеют специальные системы вентиляции и пожаротушения. Все важные узлы резервируются: если вышел из строя один, его заменит дублёр.

Изоляция услуг хостинга

На одном сервере может быть расположено множество услуг хостинга, которые заказали разные клиенты. Но каждый из них имеет доступ только к своим файлам. Основа для этого — механизм распределения прав, который предоставляет операционная система Linux.

Каждый файл и директорию в Linux можно настроить на чтение и запись. Доступ отдельно настраивается для:

  • владельца файла;
  • групп пользователей, в которые входит владелец;
  • всех остальных.

Для каждого клиента на сервере создан отдельный пользователь операционной системы. Права доступа настроены так, что ни заглянуть в чужие файлы, ни записать туда ничего не получится.

Такой механизм распределения прав невероятно гибкий, он позволяет настроить доступ в системах любого масштаба.

Процессы пользователей, в том числе и обработчики PHP, изолированы — каждый может управлять только своими процессами. Использование memcached, который доступен на VIP-тарифах хостинга, безопасно — для каждого пользователя выделен свой экземпляр и используется отдельный порт.

Читайте также: Изучите необходимый минимум Linux, чтобы быть продуктивным

SSL

SSL-сертификат (Secure Sockets Layer) необходим для работы протокола HTTPS. Благодаря сертификату обмен данными между клиентом и сервером шифруется. Также SSL подтверждает подлинность сайта, к которому подключается пользователь. И сегодня это обязательный элемент каждого современного ресурса.

Для любого сайта на хостинге REG.RU можно заказать и установить SSL-сертификат понравившегося удостоверяющего центра, в том числе бесплатный от Let’s Encrypt, или получить бесплатно на 1 год сертификат от GlobalSign вместе с доменом.

Автоматически сгенерированные пароли

На хостинге REG.RU пароли для прикладных служб генерируются автоматически. Автоматически созданные пароли содержат специальные символы, цифры и буквы разного регистра. Такой способ позволяет создать устойчивый к подбору пароль, не задумываясь о принципах криптографии.

Антивирусная защита

В коде сайта, как и в любом программном коде, могут быть уязвимости, через которые он может быть заражён вредоносным ПО. Важно вовремя заметить заражение и принять меры. Чтобы сделать это — нужен антивирус.

На хостинге REG.RU используется решение от Virusdie. Сканирование файлов пользователя проходит ежедневно, а если найдено вредоносное ПО — пользователь получит уведомление об этом с рекомендациями по дальнейшим действиям.

Кроме проверки и уведомления, антивирус может «‎лечить» заражённые файлы — удалять из них вредоносный код и восстанавливать повреждённые участки. Несмотря на возможности антивируса, возникают ситуации, когда файлы вылечить нельзя. В этом случае нужно восстановление сайта из резервной копии.

Google Safe Browsing

Дополнительно к антивирусной защите на хостинге REG.RU настроен мониторинг заблокированных сайтов в Google Safe Browsing. Принцип работы системы: находить вредоносные веб-ресурсы и показывать предупреждения в результатах поиска или в браузере, чтобы защитить пользователей.

Если сайт клиента попадет в список небезопасных сайтов Google Safe Browsing, на контактный email придёт сообщение с рекомендациями по устранению проблемы.

Резервное копирование

На shared-хостинге REG.RU работает автоматическое резервное копирование. Бэкапы хранятся на отдельных серверах, которые не зависят от серверов хостинга. В копии сохраняются все файлы сайтов и базы данных. Каждая резервная копия создаётся в начале суток по московскому времени. Таким образом, сохраняются все изменения за прошедший день.

Пользователь может восстановить сайт из бэкапа или скачать архив на свой компьютер. Каждая резервная копия хранится в течение 30 дней, затем безвозвратно удаляется.

Защита от DDoS-атак

DDoS-атака — распределённая атака на сервер, которая приводит к отказу в обслуживании. Как результат — неработающий или работающий с перебоями сайт. Самая распространённая причина DDoS-атак — конкуренция. Не попадая на желаемый сайт, клиент уходит на доступный сайт конкурента, а администратор пострадавшего ресурса теряет деньги.

Так как на одном физическом сервере хостинга находится множество сайтов, защита от DDoS крайне важна. Атака на один ресурс не должна влиять на все остальные.

DDoS-атака может происходить как на низком, так и на высоком уровне модели OSI. Низкоуровневая DDoS-атака проходит на сетевом и транспортном уровне (третьем и четвертом). Для этого вида атак злоумышленник использует несовершенства сетевых протоколов. На хостинге REG.RU защита от низкоуровневых атак работает постоянно.

Высокоуровневая DDoS-атака проходит на сеансовом и прикладном уровнях (пятом и седьмом). Чаще всего такие атаки похожи на большое количество обращений от пользователей, поэтому защиту необходимо подключать отдельно для каждого сайта. Если атака будет мощной и повлияет не только на доступности сайта, но и на производительности сервера, провайдер может ограничить доступ к сайту до завершения атаки или до момента, пока клиент не подключит защиту.

Web Application Firewall

В качестве Web Application Firewall на хостинге REG.RU используется ModSecurity c платными правилами от ведущих компаний в сфере кибербезопасности. Web Application Firewall фильтрует атаки на сайты пользователей, которые направлены на уязвимости популярных CMS (Joomla, Wordpress, Bitrix, OpenCart и так далее).

К таким атакам относятся, например, SQL-инъекции. Этот метод атаки позволяет выполнить произвольный SQL-запрос к базе данных сайта. Последствия могут быть серьёзными — от кражи данных и взлома админки сайта до полного удаления всех данных из базы.

ModSecurity отслеживает HTTP-трафик и анализирует события в реальном времени. Используемые на уровне HTTP-сервера фильтры справляются с различными угрозами, такими как: межсайтовый скриптинг, подстановка SQL-запросов, CSRF, подстановка JavaScript-блоков на страницы и другие.

Fail2Ban

Это программное средство для предотвращения атак методом полного перебора (brute force). Часто используется для защиты SSH и FTP, может быть настроено и для защиты других служб. Принцип работы Fail2Ban прост — он сканирует логи, и если обнаруживает несколько попыток входа с неправильными логином и паролем, временно блокирует доступ с IP-адреса атакующего.

Несмотря на простоту, такой метод защиты очень эффективен — подобрать пароль становится намного сложнее. У Fail2Ban есть побочный эффект — если пользователь просто забыл пароль и пытается его вспомнить, перебирая возможные варианты, ему также будет временно закрыт доступ.

Читайте также: Рецензия на книгу Чарльза Петцольда «Код. Тайный язык информатики», или Зачем программисту знать, как устроен фонарик

Почему этих инструментов может быть недостаточно для защиты сайтов

Мы перечислили инструменты, которые используем для безопасности сайтов наших клиентов. Но если пользователь сам не соблюдает базовые правила безопасности, эффективность защиты снижается. Это как пристегнуть ремни в машине: без этого просто не получится обезопасить себя во время поездки. Поэтому можно выделить несколько простых правил, соблюдая которые вы максимально обезопасите свой сайт от взлома, а себя от потери данных.

Простые правила безопасности для вашего сайта

Используйте корректные права на директории и файлы сайтов: стандартные права «‎644»‎ для файлов и «‎755»‎ для директорий. Их достаточно для корректной работы скриптов сайта. Не используйте права «777»‎. Такие атрибуты — потенциальная уязвимость, они дают широкие возможности для вредоносного ПО.

Всегда используйте последнюю версию CMS, темы и плагинов. Своевременно устанавливайте обновления — в них разработчики закрывают уязвимости, что увеличивает безопасность сайта.

Плагины и темы нужно устанавливать только из официальных источников. Часто во «взломанных» версиях встречаются вредоносные вставки.

Используйте SSL-сертификат для сайта и настройте перенаправление всех HTTP-запросов на HTTPS.

Регулярно проверяйте пароли в базе скомпрометированных. Если ваш пароль есть в базе, срочно смените его.

Пользуйтесь антивирусным программным обеспечением на локальном компьютере и регулярно обновляйте антивирусные базы.

Используйте только актуальные версии браузеров.

По возможности, вместо FTP используйте протокол SFTP. Постарайтесь полностью отказаться от FTP в будущем.

Не храните пароли в FTP-клиентах. Очень часто вирусы берут информацию из FTP-клиента. Эта информация потом может быть использована для взлома сайта.

На что обратить внимание при выборе хостинг-провайдера?

Обращайте внимание на несколько компонентов защиты, которые должны быть обязательными:

  • надёжный дата-центр (ограниченный доступ, резервирование критических систем и т.п.);
  • изоляция услуг;
  • антивирусная защита;
  • защита от DDoS;
  • автоматическое резервное копирование (важный инструмент, который может стать последним бастионом при проблемах с сайтом).

Остальные средства будут приятным бонусом и дополнительной защитой. Но всё это в совокупности с соблюдением базовых правил безопасности надёжно защитит ваш сайт.

Аватар пользователя Компания  Reg.ru
Компания Reg.ru 10 февраля 2021
3
Рекомендуемые программы
профессия
Осваивайте разработку веб-страниц, оживляйте дизайн макетов, публикуйте сайты и приложения. Отслеживайте ошибки в интерфейсе и устраняйте их
10 месяцев
с нуля
Старт 28 ноября
профессия
Обучитесь разработке бэкенда сайтов и веб-приложений — серверной части, которая отвечает за логику и базы данных
10 месяцев
с нуля
Старт 28 ноября
профессия
Выполняйте ручное тестирование веб-приложений, находите ошибки в продукте. Узнайте все о тест-дизайне.
4 месяца
с нуля
Старт 28 ноября
профессия
Научитесь разработке веб-приложений, сайтов и программного обеспечения на языке Java, программируйте и используйте структуры данных
10 месяцев
с нуля
Старт 28 ноября
профессия
новый
Собирайте, анализируйте и интерпретируйте данные, улучшайте бизнес-процессы и продукт компании. Обучитесь работе с библиотеками Python
9 месяцев
с нуля
Старт 28 ноября
профессия
Занимайтесь созданием сайтов, веб-приложений, сервисов и их интеграцией с внутренними бизнес-системами на бекенд-языке PHP
10 месяцев
с нуля
Старт 28 ноября
профессия
Создание веб-приложений со скоростью света
5 месяцев
c опытом
Старт 28 ноября
профессия
Обучитесь разработке визуальной части сайта — фронтенда, а также реализации серверной — бэкенда. Освойте HTML, CSS, JavaScript
16 месяцев
с нуля
Старт 28 ноября
профессия
Разработка бэкенд-компонентов для веб-приложений
10 месяцев
с нуля
Старт 28 ноября
профессия
новый
Организовывайте процесс автоматизации тестирования на проекте, обучитесь языку программирования JavaScript, начните управлять процессом тестирования
8 месяцев
c опытом
Старт 28 ноября