Как защитить персональную информацию в сети: выбираем хостинг для своего бизнес сайта

Надежный хостинг

Когда взламывают информационный сайт, злоумышленники могут разве что получить полную копию файлов и базы данных. Никакой конфиденциальной информации там нет, кроме электронной почты и IP-адресов комментаторов. В случае с коммерческим сайтом, на хостинге могут храниться данные банковских карт, имена и фамилии, номера телефонов, тайная переписка и другая конфиденциальная информация.

Выбирая хостинг для бизнес-сайта, отдельное внимание уделяется защите персональной информации. Хороший уровень безопасности обеспечивают хостинги с наибольшим числом клиентом, надежные сервисы для решений таких задач можно найти здесь. Также, в рейтинге учитываются другие характеристики хостинга: время аптайма, скорость загрузки, поддержка технологий, качество техподдержки и т.д. Рассмотрим, на что нужно обратить внимание для лучшей защиты данных.

Защита панели управления сайтом

Кроме взлома скриптов сайта, хакер может посягнуть на панель управления сайтом, т.е. вашу админку. Получив доступ к админке, злоумышленник может сделать даже больше, чем если просто взломает сайт:

  • Скопировать файлы и базу данных
  • Удалить сайт и резервные копии
  • Изменить параметры DNS-зоны
  • Удалить SSL-сертификат
  • Встроить вредоносный код
  • Рассылать спам от вашего имени и др.

На хостингах применяются различные защиты входа в админку:

  • Подтверждение входа по СМС
  • Подтверждение входа по email
  • Подтверждение входа с помощью двухфакторной аутентификации Google
  • Ограничение по IP-адресу
  • Ограничения по устройству входа

Рекомендуется применять хотя бы один вид защиты. Есть ещё нулевая защита, это сложный пароль. Обязательно придумайте сложный пароль, состоящий из не менее 12 символов, строчных и прописных букв, цифр и специальных знаков. В 2021 году не должно быть проблем с хранением паролей, для этого предназначены программы-менеджеры паролей и встроенные в браузеры инструменты. Также, не используйте один пароль более одного раза, генерируйте новый пароль для каждой регистрации в интернете.

Подтверждение входа посредством СМС является самым надёжным способом, несмотря на существование способов восстановления номера без вашего участия. Но есть некий дискомфорт, когда требуется при каждом входе ждать СМС. Проблемы могут возникнуть при нахождении в другой стране или утере телефона.

Подтверждение по email – это минимальная, но самая удобная защита от несанкционированных попыток входа. Защитив вход в почту двойной аутентификацией, степень защиты при подтверждении по email становится высокой.

Двухфакторная аутентификация с помощью приложения Google Authenticator пока что является оптимальным способом защиты. На смартфон нужно установить приложение и добавить туда аккаунт хостинга, сканировав QR-код. Теперь, при каждом входе нужно вводить одноразовый код из приложения, который генерируется каждую минуту. По сравнению с СМС есть плюс в том, что не требуется мобильная связь, это всегда бесплатно, не нужно ждать СМС, которое задерживается. Минус в том, что вам нужно записать цифровой код для восстановления доступа, в случае необходимости. Код нужно хранить в безопасном месте, его утечка равносильна обнулению защиты.

Ограничение по IP-адресу хорошо работает, если вы работаете на компьютере со статическим IP-адресом, т.е. айпишник не должен меняться после перезагрузки роутера. Злоумышленник сможет попасть в панель управления сайта только, если инфицирует ваш компьютером вирусом с возможностями удалённого управления компьютером.

Допустим динамический IP-адрес в небольших пределах. Например, 186.38.124.1-186.38.124.254, т.е. меняется только последняя цифра. Тогда вы можете ограничить доступ по маске 186.38.124.XXX. Также, можно использовать ограничение по айпишнику, если у вас динамический IP, или вы работаете из разных мест. Для этого нужно подключение через виртуальный частный канал (VPN) с постоянным IP-адресом. Перед входом в админку понадобится сначала подключиться к VPN. Такой способ дополнительно защищает передаваемые данные.

Ограничения по устройству входа применяются к рабочему компьютеру совместно с двойной аутентификацией. Необходимо один раз подтвердить вход, чтобы хостинг запомнил ваш компьютер, а точнее конкретный браузер, с которого теперь можно заходить на сайт просто по логину и паролю.

Защита сервера по SSH

Управлять сайтом можно не только через панель управления, но и с помощью терминала. Терминал используется для администрирования выделенных серверов, виртуальных выделенных серверов (VPS) и иногда виртуальных хостингов (Shared). Подключившись к хостингу через терминал, можно сделать с сайтом всё что-угодно с помощью SSH-команд в консоли ОС Linux.

Доступ по SSH защищён обычным паролем. Для улучшения защиты хостинг должен поддерживать доступ через зашифрованные RSA-ключи. С помощью панели хостинга нужно создать ключ, который состоит из двух взаимодополняющих частей: открытой и закрытой.

Открытый ключ хранится на сервере, закрытый хранится у вас. Чтобы войти на сервер, в терминал загружается закрытый ключ, без которого доступ не возможен. Ключ также защищается паролем. В обязанность владельца ключа входит обеспечение его защиты от утечки. Закрытый ключ лучше хранить на съёмном носителе с включённой функцией шифрования файлов.

Защита от вредоносных программ

На хостинге должна работать полноценная защита от вредоносных программ. Злоумышленники загружают на сервер скрипт, который открывает доступ к файлам сайта и базе данных. Антивирус на хостинге должен детектировать в режиме реального времени появление вредоносного скрипта и предпринять запрограммированное действие: удалить код или оповестить клиента. На хостингах используются разные антивирусы, это не имеет особого значения.

Хорошо, если используется дополнительное ПО для защиты сайта от вирусов. Например, ПО Patchman содержит базу уязвимостей популярных CMS, плагинов и скриптов. Patchman способен пропатчить скрипт для его излечения от уязвимости. Получается двойная защита: известные уязвимости исправляются, неизвестные отлавливаются антивирусом. Антивирус умеет находить неизвестные вирусы с помощью эвристического анализатора. Эвристический метод обнаружения оценивает поведение программ, оценивая возможное нанесение вреда.

Брандмауэр на хостинге

Любой хостинг защищён брандмауэром (фаервол), который блокирует несанкционированные подключения. Конкурентным преимуществом станет наличие дополнительного брандмауэра в панели управления. С его помощью можно заблокировать неиспользуемые протоколы и порты, например: POP3, SMTP, FTP. Брандмауэр способен определять подозрительные запросы с определённого IP-адреса и вносить его в чёрный список.

В панели cPanel встречается фаервол ModSecurity. Он работает автоматически, отсекая подозрительные запросы. Не нужно бездумно включать брандмауэр, в надежде что он решит все проблемы с безопасностью. В число подозрительных активностей могут попасть вполне нормальные запросы вашего бизнес-сайта.

Резервное копирование

Персональную информацию важно не только защитить от утечек, но и сохранить для личного пользования. Форс-мажоры иногда случаются, и тогда нужно восстановить данные из резервной копии. Для сайта бизнес-направленности нужен хостинг с регулярным резервным копированием и хранением копий.

Бекапы должны происходить каждый день, а если сайт сохраняет много новой информации, то и несколько раз в день. Срок хранения резервных копий – не менее недели. На VPS-серверах вы сами настраиваете периодичность и срок хранения. Виртуальный хостинг не позволяет менять параметры создания резервных копий.

Кроме того, для лучшей гарантии сохранения бекапов потребуется хостинг, базирующийся на Дата-Центре уровня TIER IV. ДЦ четвёртого уровня хранят резервные копии в другом, физически удалённом, Дата-Центре. Таким образом, даже если случится крупная авария, то ваши данные останутся в безопасности.

Оценка:
( 1 оценка, среднее 5 из 5 )
Не забудьте поделиться материалом в соцсетях:
KRASHENININ.TECH - блог о веб-технологиях, и не только
Подписаться
Уведомление о
guest
0 Комментарий
Встроенные отзывы
Просмотреть все комментарии
0
Есть мысли? Прокомментируй!x
()
x
Читайте ранее:
Анализ Linux сервера
Экспресс-разведка сервера Linux: базовые команды для сбора и анализа данных

Когда я впервые захожу на незнакомый мне сервер Linux, то первым делом провожу экспресс-разведку, которая включает базовый сбор технической, аппаратной...

Закрыть