Как защитить браузер от взлома — 5 способов

Содержание

Как защитить WordPress от взлома

p, blockquote 1,0,0,0,0 —>

  1. Теоретические советы:
  2. 1. Совет. Новая версия лучше
  3. 2. Совет. Хороший Хостинг
  4. 3. Совет. Длинные и сложные пароли
  5. 4. Совет. Сканирование на наличие уязвимости
  6. 5.Совет. Использование SSL сертификата
  7. 6. Совет. Ограничение по ip адресам
  8. 7. Совет. Антивирусы еще ни кто не отменял
  9. Практические советы:
  10. 1.Совет. Удаляем ненужные файлы
  11. 3. Совет. Смотрим какие папки открыты для взломщиков
  12. 4. Совет. Защита входа в админку
  13. 5. Совет. Делаем запрет на посещение вашего сервера различными лицами
  14. 6. Совет. Уберем уведомление о не правильно введенном пароле
  15. В дополнение:

Теоретические советы:

1. Совет. Новая версия лучше

Конечно стоит обновить свой движок до новой версии , как только она выходит. Сами производители этого продукта рекомендуют обновлять платформу, но многие утверждают что делать это не стоит , так как новая версия может конфликтовать со старой темой или плагинами , что может привезти к неработоспособности сайта.

p, blockquote 2,0,0,0,0 —>

Рассмотрим то, как сделать это правильно.

p, blockquote 3,0,0,0,0 —>

Чтобы все прошло как надо, нужно сначала сделать buck-up файлов и базы данных сайта, то есть ( сделать копии всех файлов и забросить себе на ПК , плюс заказать архив MySQL базы и так же сохранить ее на ПК ).

p, blockquote 4,0,0,0,0 —>

Затем можно спокойно обновлять движок и после обновления уже смотреть, проверять как работают плагины, не съехала ли тема, виджеты и т.д…

p, blockquote 5,0,0,0,0 —>

Предположим все прошло гладко, остается только радоваться новой версии и считать что защита стала на уровень выше. В другом случае если что вдруг пошло не так , можно спокойно восстановить buck-up данных и работоспособность сайта.

p, blockquote 6,0,0,0,0 —>

2. Совет. Хороший Хостинг

В интернете много различных компаний предоставляющие хостинг услуги на бесплатной основе.

p, blockquote 7,0,0,0,0 —>

Стоит ли им доверять?

p, blockquote 8,0,0,0,0 —>

Скажу так. Какая цена такое и качество. И лучше всего обходить такие компании стороной или максимум проверить какая присутствует тех поддержка на хостинге , проверить отзывы в интернете.

p, blockquote 9,0,0,0,0 —>

Хоть сотрудники таких ресурсов и утверждают что у них стоят хорошие системы защиты , для мошенников взлом такого хостинга не составит большого труда. И доступность сайта также страдает, на дешевом хостинге, часто бывают сбои работы сервера.

p, blockquote 10,0,0,0,0 —>

p, blockquote 11,0,1,0,0 —>

3. Совет. Длинные и сложные пароли

В первую очередь поменяйте пароль в административной панели движка WP. Пароль вида 1234567890, qwerty с легкостью предоставит взломщику ваш сайт на блюдечке.

p, blockquote 12,0,0,0,0 —>

Используйте буквы верхнего и нижнего регистра , знаки вида: !@#$%&_ и конечно же цифры делая пароль длинным 15 -20 знаков. В таком случае подобрать пароль будет сложно и почти не возможно.

Это касается и почты под которой привязан WP. Пароли необходимо менять раз в 2 месяца , чем чаще тем лучше! Не используйте пароль от входа в админку на других сайтах

p, blockquote 14,0,0,0,0 —>

4. Совет. Сканирование на наличие уязвимости

Конечно проверять ручками код страниц не придется. В этот к нам нам на помощь придет отличный плагин WP Security Scan. Данный плагин хорош тем что он показывает администратору какие ошибки есть в данный момент и немного информации по их устранению.

p, blockquote 15,0,0,0,0 —>

Установили нажали на кнопку указанную на картинке и смотрим какие уязвимости присутствуют на сайте.

p, blockquote 16,0,0,0,0 —>

5.Совет. Использование SSL сертификата

Так вы сможете повысить доверие к сайту и немного повысить уровень безопасности. Адрес айта будет https://

p, blockquote 17,0,0,0,0 —>

p, blockquote 18,0,0,0,0 —>

6. Совет. Ограничение по ip адресам

Можно разрешить определенным ip адресам заходить в админ- панель, для этого нужно только вставить вот такой код в файл .htacceess

p, blockquote 19,0,0,0,0 —>

AuthName “WordPress Admin Access Control”

AuthType Basic order deny,allow deny from all

# whitelist Syed’s IP address allow from xx.xx.xx.xxx

# whitelist David’s IP address allow from xx.xx.xx.xxx

# whitelist Amanda’s IP address allow from xx.xx.xx.xxx

# whitelist Muhammad’s IP address allow from xx.xx.xx.xxx

# whitelist Work IP address allow from xx.xx.xx.xxx

В этом способе есть одно неудобство, например вы уехали в другое место , значит ip адрес поменялся и доступ к админке будет закрыт пока вы не добавите ip адрес в файл .htaccess

p, blockquote 21,0,0,0,0 —>

7. Совет. Антивирусы еще ни кто не отменял

Хороший антивирус будет защищать ваш WordPress от различных атак включая такие как эксплойт и спам инъекции. Плюсы данного чуда в том что он автоматически проверяет раз день ваш сайт и отправляет отчет на e-mail адрес, так же можно проверить в ручную с незамедлительным получением информации о каких либо угрозах.

p, blockquote 22,0,0,0,0 —>

Антивирус должен стоять на вашем компьютере, чтобы никто не мог украсть ваши пароли. И на сайте, либо хостинг может предоставлять антивирус для сканирования файлов сайта.

p, blockquote 23,1,0,0,0 —>

Практические советы:

p, blockquote 24,0,0,0,0 —>

1.Совет. Удаляем ненужные файлы

Два файла по которым мошенник сможет узнать версию вашего движка и много чего полезного для взлома. Они не нужны их удаляем — readme.html и license.txt расположены в корневой директории вашего.

p, blockquote 25,0,0,0,0 —>

Так же для защиты от утечки информации о версии движка рекомендую вам удалить вот эту строку в файле header.php

p, blockquote 26,0,0,0,0 —>

может быть и другая строка в зависимости от темы

3. Совет. Смотрим какие папки открыты для взломщиков

В своем браузере набираем такие команды:

p, blockquote 28,0,0,0,0 —>

Если открывается пустая страница, значит все замечательно. Если браузер показывает содержимое папок, это очень и очень плохо. Таким образом мошенник увидит название некоторых главных файлов по которым так может осуществить взлом. Чтобы скрыть эти папки , нужно в обеих директориях создать по одному пустому файлу index.php. После этих манипуляций папки должны быть скрыты.

p, blockquote 30,0,0,0,0 —>

Ко всему этому прописав такую строчку Options All -Indexes в файл .htaccess вы еще на один шаг выше в плане безопасности своего сайта.

p, blockquote 31,0,0,0,0 —>

4. Совет. Защита входа в админку

Устанавливаем отличный плагин All In One WP Security он позволит блокировать атаки рода bruteforce(перебор пароля) и обеспечивают хороший уровень защиты. У него много разных интересных настроек.

p, blockquote 32,0,0,0,0 —>

p, blockquote 33,0,0,0,0 —>

5. Совет. Делаем запрет на посещение вашего сервера различными лицами

Еще два файла через которые злоумышленник сможет проникнуть в ваш сервер и наделать бед Function.php и Search.php. В этих файлах необходимо прописать по одной строчке: function.php в самом низу вставляем :

p, blockquote 34,0,0,1,0 —>

В search.php заменить эту строку:

Если вы не обнаружили у себя таких файлов , не огорчайтесь значит все нормально и никаких изменений делать не нужно.

p, blockquote 36,0,0,0,0 —>

6. Совет. Уберем уведомление о не правильно введенном пароле

Зайдите в админку. Посмотрите когда вводишь правильный логин и не правильный пароль о чем вам говорит WordPress ?

p, blockquote 37,0,0,0,0 —>

Убираем подсказки на входе в админку WordPress

p, blockquote 38,0,0,0,0 —>

Движок может показать мошеннику (в случае если он угадает логин) что логин правильный, а вот пароль нет. Так же будет в случае если мошенник угадает пароль, то движок ему скажет что пароль правильный, а вот над логином стоит подумать.

p, blockquote 39,0,0,0,0 —>

Теперь взломщику понадобиться очень много времени чтобы подобрать только пароль или только логин. Усложним его задачу — закроем это уведомление, прописав в файле function.php следующую строчку

p, blockquote 40,0,0,0,0 —>

add_filter (‘login_errors’,create_function (‘$a’, «return null;»));

Теперь WordPress не покажет ему подсказок!

p, blockquote 42,0,0,0,0 —>

В дополнение:

Проверьте все свои плагины , может есть такие которые просто весят в воздухе и вы ими не пользуйтесь-удалите их. Свежие версии лучше тем, что там меньше «дыр» — старайтесь обновлять свой WP и плагины , делая перед этим резервные копии!

p, blockquote 43,0,0,0,0 —>

Сделайте сложный пароль для входа на хостинг , если туда закрадутся мошенники вся защита пойдет на смарку и старайтесь связываться для закачки файлов и просто работы над сайтом не через ftp клиент, а через панель управления хостингом так намного безопасней!

p, blockquote 44,0,0,0,0 —>

p, blockquote 45,0,0,0,0 —> p, blockquote 46,0,0,0,1 —>

Источник: http://dramtezi.ru/poleznoe/kak-zashhitit-wordpress-ot-vzloma.html

5 способов ФБР для защиты Андроида

Ни для кого не секрет, что смартфоны и другие мобильные устройства постоянно следят за своими владельцами, собирая и передавая конфиденциальную информацию разработчикам, производителям и даже спецслужбам. Никакие браузеры и приложения не могут полностью отключить встроенные инструменты отслеживания. Однако сегодня все же есть список мер, которые можно предпринять, чтобы защититься от слежки.

Отключение беспроводных интерфейсов

Следует понимать, что слежка за пользователем может вестись не только посредством Wi-Fi или сотовых сетей, но и через Bluetooth и даже Ultra Wideband. Поэтому, чтобы защитить свой Андроид, необходимо отключить все беспроводные интерфейсы.

Сделать это можно в настройках устройства.

При этом отключение беспроводных интерфейсов делает невозможным использование Bluetooth-наушников, колонок, фитнес-браслетов и различных элементов умного дома. И тут уж придется выбирать из двух зол, отдавая предпочтение комфорту или личной безопасности.

В настройках смартфона нужная кнопка, которая обычно находится в разделе «Данные местоположения».

Извлечение аппаратного ключа

Все современные смартфоны, работающие на основе ОС Android 6 и выше, оснащены специальной системой шифрования, которая должна защищать наши данные при попытке взлома устройства. Однако как злоумышленники, так и спецслужбы уже давно научились извлекать аппаратный ключ и расшифровывать заблокированную информацию.

Но все же сделать свой смартфон более защищенным от взлома вполне реально.

Для этого необходимо:

  1. Установить на свой компьютер программу ADB, не забыв подключить смартфон.
  2. С помощью утилиты выполнить команду «adb shell getprop ro.crypto.type».
  3. Если на экране появилось слово “file”, значит, смартфон использует шифрование FBE.

Для дополнительной защиты устанавливаем код блокировки длиной 6 цифр и удаляем отладочный режим USB Debugging.

В данном случае следует зайти в настройки и создать новый код блокировки.

Также важно включить режим безопасной загрузки и отключить отладочный режим USB Debugging.

Теперь, даже если смартфон попадет в руки к спецслужбам или хакерам, им придется изрядно попотеть, чтобы «выудить» из него хоть какую-то информацию.

Запрет доступа

Все приложения, которые мы устанавливаем на свой телефон, при первом запуске требуют предоставить им доступ к определенной информации. И чаще всего сюда относится геолокация, звонки, СМС и память устройства. Но прежде чем нажать кнопку «Разрешить», следует подумать, зачем программе нужна эта информация?

Чаще всего она никак не улучшает работу приложения. Просто разработчики ведут сбор данных о пользователях, потом перепродавая их третьим лицам.

Запретить доступ уже установленным приложениям также реально, выбрав нужные настройки на смартфоне. Делается это так: выбираем раздел «Приложения», кликаем на нужную программу и в графе «Разрешения» отключаем все ненужные пункты.

Специальное ПО

Также для защиты смартфона можно использовать специальные приложения. Среди них:

    Adblock Browser. Мобильный браузер со встроенным блокировщиком рекламы.

Позволяет спокойно серфить в сети без назойливых объявлений.

При возникновении проблем устройство издает характерный сигнал.

Владелец устройства может настроить несколько типов профилей с разным уровнем прав.

Данные программы находятся в открытом доступе в PlayMarket. И категорически не рекомендуется устанавливать подобные приложения с каких-либо сторонних источников.

Сброс Ad ID

Большую часть информации на смартфоне накапливают рекламные идентификаторы. Именно благодаря им мы постоянно видим нужные нам объявления и товары.

Однако, если такие данные попадут не в те руки, это может плохо кончиться. Поэтому важно время от времени осуществлять сброс Ad ID. Сделать это можно в «Настройках», пройдя по пути «Реклама и конфиденциальность» — «Сброс Ad ID».

Многие из приведенных выше советов могут помешать полноценной работе смартфона и приложений, поэтому применять их на практике следует выборочно. Некоторые из методов можно использовать в особых ситуациях, например, перед пересечением границы или «походом» в полицейский участок. Другие же пункты способны обеспечивать пользователям постоянную защиту.

Источник: http://xchip.ru/2020/08/28/kak-nadezhno-zashhitit-android/

6 способов защитить свой сайт от хакеров

С хакерскими атаками знаком практически каждый веб-мастер, разработчик или владелец сайта. Атаки вредят репутации ресурса и его рейтингу в поисковой выдаче, что негативно сказывается на посещаемости сайта, а также на доходах его владельца, если проект является коммерческим. Именно поэтому необходимо рассматривать безопасность ресурса как приоритетную задачу для вашего бизнеса, особенно если вы запрашиваете личную информацию у клиентов. Каким образом можно обеспечить эту безопасность? Прочтите эту статью и узнайте о 6 способах защиты от хакерских атак.

1. Храните только нужные данные клиентов

Хакеры не могут украсть то, чего у вас нет. Поэтому запрашивайте через ваш интернет-ресурс и сохраняйте только те личные данные клиента, которые действительно необходимы для ведения вашего бизнеса. Когда необходимо обработать данные банковских карт, используйте зашифрованный канал для их обработки, чтобы исключить возможность прочтения данных карты вашими серверами. Это может занять больше времени при проведении платежа вашими клиентами, однако подобные действия оградят вас от рисков, связанных с сохранностью данных банковских карт ваших клиентов.

2. Обновите SSL

При передаче конфиденциальной информации необходимо зашифровать соединение между сайтом и браузером. Для того, чтобы обезопасить сайт от взлома хакерами, постоянно обновляйте версии текущих шифровальных алгоритмов, например для SSL (Secure Sockets Layer — уровень защищенных сокетов). Для обеспечения безопасности важно использовать обновленные версии библиотеки шифрования. Некоторое время назад исследователи обнаружили серьезную уязвимость в коде версий SSL 3.0 и 2.0. Именно поэтому обновления необходимы.

3. Тестируйте свой сайт на наличие уязвимостей

Компании, выпускающие банковские карты, обязывают продавцов тестировать их ресурсы на соответствие определенным стандартам безопасности. Однако этого порой недостаточно. Самый надежный путь предотвращения непредвиденных взломов — проведение регулярного тестирования ваших ресурсов. Это включает в себя:

  • Регулярную проверку веб-сайтов (включая тестирование всех ссылок) для того, чтобы убедиться, что хакеры не внедрили вредоносные программы (malware) в рекламные объявления, графику или любой другой контент, размещенный на вашем сайте третьими лицами.
  • Тестирование на проникновение. Если ваш бюджет позволяет, подумайте о том, чтобы нанять специалиста по кибер-безопасности для нахождения уязвимостей в коде.
  • Подбор инструментов для сканирования, которые в процессе тестирования программы помогают вычислить различные уязвимости в коде.

4. Шифруйте коммуникации

Шифруйте коммуникации со своими партнерами по бизнесу, особенно когда это касается данных платежных карт. При необходимости можно даже задуматься о шифровке ваших электронных писем. Помните, что никогда не стоит отправлять важные личные данные простым текстом через Интернет. Зачем рисковать сохранностью ваших данных?

5. Доверяй, но проверяй

Мы все хотим доверять свои клиентам, верно? Однако в наши дни лучше всего проверить дважды. Поэтому подключите систему подтверждения адреса и запрашивайте клиентов вводить код проверки подлинности карты для всех транзакций.

6. Выбирайте надежного хостинг-провайдера

Выбирая хостинг-провайдера, убедитесь, что вы инвестируете в качественные услуги. Множество хостеров, например, Timeweb, предлагают набор услуг, способствующих стабильной и надежной работе вашего сайта. Наибольшую безопасность вам могут гарантировать провайдеры, которые:

  • проводят регулярное резервное копирование;
  • проводят регулярный мониторинг сети;
  • предоставляют поддержку в случае возникновения каких-либо проблем.

Вы должны быть уверены, что у хостинг-провайдера есть сценарии реагирования на непредвиденные неполадки или атаки. Уточните у хостера всю необходимую информацию.

Вывод

Ваши клиенты должны быть уверены, что вы делаете все необходимое для обеспечения онлайн-безопасности. Для этого регулярно тестируйте свой сайт, оперативно устраняйте проблемы в случае их обнаружения и следите за тем, чтобы все уязвимости были под вашим контролем.

Источник: http://timeweb.com/ru/community/articles/6-sposobov-zashchitit-svoy-sayt-ot-hakerov-1

Как защитить себя от взлома и утечки личных данных

1. Что случилось?

28 января отмечается Международный день защиты персональных данных. За советами о защите личных данных в интернете мы обратились к управляющему директору «Лаборатории Касперского» в странах Центральной Азии и Монголии Евгению Питолину.

В наши дни хакерские атаки стали распространённым явлением. Эксперты подтверждают, что никто не защищён от взлома электронной почты, аккаунтов в соцсетях, месседжерах или заражения программного обеспечения вирусами. Злоумышленники могут использовать украденные данные для шантажа, мошенничества или похищения средств с банковских счетов.

2. Как обезопасить себя от взлома электронной почты и похищения писем?

Ни одна почтовая служба не может обеспечить 100%-ную безопасность вашей переписки. Самый простой способ обезопасить себя – использовать более сложные пароли к своим аккаунтам. Удивительно, но в наш век киберугроз самыми популярными паролями все ещё остаются цифры от 1 до 8 или дни рождения родственников. Следует ответственнее отнестись к выбору пароля. Кроме того, не стоит использовать одинаковый пароль на разных сайтах. Дополнительная мера защиты – двухэтапная аутентификация. В любом почтовом сервисе можно настроить эту функцию. После её настройки при входе в аккаунт у вас будут запрашивать не только пароль, но и код, который придёт на ваш номер по SMS.

При пересылке ценных сообщений не стоит использовать бесплатные Wi-Fi сети. В открытых сетях трафик не шифруется, и его относительно легко можно перехватить. Особо ценные бумаги, вроде сканов удостоверения, лучше отправлять в защищённом паролем архиве. Для пересылки конфиденциальных данных, связанных с вашей работой и бизнесом, лучше не использовать бесплатный почтовый ящик. Для этого существуют корпоративные адреса и специальные приложения, шифрующие сообщения. Если у вас такого нет, можно использовать анонимную почту, адрес, которой вы не используете для регистрации на сайтах и в соцсетях.

3. Как избежать заражения вирусом через электронную почту?

В наше время именно почта является главной точкой входа для большинства крупных хакерских атак. Первый и самый простой способ обезопасить себя от них – внимательнее относиться к входящим сообщениям. Подозрительные письма лучше сразу отправлять в спам. Перед тем как просматривать или скачивать вложения в письмо, стоит убедиться, что адресант действительно отправлял вам его.

4. Как обезопасить данные своей банковской карты при использовании онлайн-сервисов и совершения покупок через интернет?

Банковские карты стали универсальным способом оплаты услуг в интернете. Мы подключаем их к интернет-магазинам, купонаторам, сервисам заказа билетов или служб такси. При этом возрастает риск использования данных карты для воровства средств со счетов. Самый простой способ такого воровства – фейковые сайты известных интернет-магазинов и онлайн-сервисов. Их адрес и внешний вид могут практически не отличаться от настоящих. Если к вам придёт письмо о потрясающих скидках на iPhone 7 на сайте известного магазина, не спешите совершить покупку. Вполне возможно, что это просто умелая копия, созданная мошенниками, чтобы узнать данные вашей карты. Лучше зайти на этот сайт по другой ссылке и проверить, действительно ли там есть подобное предложение.

В целом следует внимательнее проверять, на каком сайте вы совершаете покупку. Если она была единовременной, можно удалить свои данные с ресурса.

Ещё один способ защитить свои средства – использовать для интернет-покупок виртуальную карту. Любой банк предоставляет подобную услугу. Через сервисы онлайн-банкинга можно перевести на неё сумму, необходимую для покупки. Таким образом можно защитить данные карточки, привязанной к основному счету.

5. Существует ли безопасный облачный сервис для хранения и резервного копирования своих фотографий и документов?

Полностью безопасных облачных сервисов не существует. Серверы практически всех крупных компаний хотя бы один раз подвергались взломам и утечке данных пользователей. При выборе облачного сервиса лучше остановиться на том, который уже взламывали до этого. Скорее всего, компания извлекла из этого уроки и повысила меры безопасности. Кроме того, следует обратить внимание на то, какое антивирусное ПО использует поставщик услуг хранения данных для проверки загружаемых файлов. Некоторые облачные хранилища вообще не защищены антивирусами.

6. Могу ли я защитить свой аккаунт в соцсетях от взлома?

Эпидемии взломов аккаунтов в соцсетях – довольно распространённое явление. Вам приходит сообщение от друга, вы проходите по ссылке – и вот уже ваш аккаунт взломан, и через него спам-сообщения рассылаются другим пользователям. Кроме того, взлом аккаунта можно использовать для мошенничества и вымогания денег у ваших близких и друзей. Чтобы избежать этого, следует внимательнее относиться к входящим сообщениям. Если вам пришло сообщение от друга, который уже много месяцев ничего не писал, стоит отнестись к нему с подозрением и уж точно не стоит открывать никаких сторонних ссылок. Все подозрительные сообщения от незнакомых лиц лучше игнорировать.

Как и в случае с почтой, следует придумывать более сложные пароли для своего аккаунта. Не следует использовать одинаковый пароль для соцсетей и почты.

7. Могут ли похитить мои персональные данные без взлома аккаунтов и почты?

Запросто. Для этого достаточно внимательнее изучить вашу страницу в соцсетях. В соцсетях мы рассказываем о своём месте работы, отдыха, предпочтениях и привычках. Всё это может быть использовано злоумышленниками против нас.

Многие выкладывают в соцсети фотографии своих паспортов, виз, авиабилетов. Мошенники и воры мониторят эту информацию. К примеру, появился новый вид квартирных воров. Они выбирают жертв по фотографиям с хештэгом или геолокацией аэропорта. По данным геолокации в постах, выложенных ранее, можно также вычислить его адрес.

8. Как понять, что мой компьютер или мобильное устройство заражены вирусом, который может похищать персональные данные?

Распространённым методом похищения персональных данных является вирусное ПО. К примеру существует вредоносный троян, который устанавливается на ваш смартфон и регулярно снимает скриншоты с экрана, высылая их злоумышленнику. Чтобы понять, что с вашим устройством что-то не то происходит, достаточно внимательнее приглядеться к нему. Если заряд смартфона начал расходоваться быстрее, он периодически перегревается, а некоторые приложения самопроизвольно запускаются, стоит обратить на это внимание и провести диагностику аппарата. Причиной как раз может быть вредоносное ПО. Некоторые вирусы могут умело скрываться и не подавать никаких признаков своего присутствия. Чтобы обезопасить себя лучше пользоваться надёжными антивирусами и регулярно проверять своё устройство или компьютер.

9. Как обезопасить персональные данные, если моё устройство заражено вирусом?

Если вы подозреваете, что ваше устройство заражено, следует зайти в свои аккаунты с другого компьютера или устройства и поменять пароли. Если вы оплачивали услуги в интернете с заражённого устройства, лучше закрыть вашу банковскую карточку для интернет-транзакций. После этого можно установить надёжный антивирус и почистить устройство от подозрительных программ. В дальнейшем следует регулярно проводить его диагностику.

Следите за самыми актуальными новостями в нашем Telegram-канале и на странице в Facebook

Присоединяйтесь к нашему сообществу в Instagram

Если вы нашли ошибку в тексте, выделите ее мышью и нажмите Ctrl+Enter

Источник: http://informburo.kz/cards/kak-zashchitit-sebya-ot-vzloma-i-utechki-lichnyh-dannyh.html

20 советов по защите сайта или блога от взлома

Время чтения: 5 минут Нет времени читать? Нет времени?

Каждый интернет-предприниматель знает об угрозе взлома сайта и потери важных данных. Но многие владельцы ресурсов пренебрегают правилами безопасности. Они думают, что хакеров интересует только крупная добыча, например, сайты крупных ритейлеров Target и Neiman Marcus, порталы органов власти или крупных СМИ. В действительности, каждый сайт подвергается опасности взлома. Хакеры могут атаковать ваш блог или корпоративный портал даже ради развлечения.

В этой статье вы найдете рекомендации, которые помогут вам уменьшить вероятность взлома сайта и связанных с этим потерь.

Абсолютно надежных способов защиты сайтов от взлома не существует. Однако воспользовавшись нижеследующими рекомендациями, вы значительно уменьшите подверженность взлому вашего ресурса. Кроме того, вы полностью защититесь от непрофессиональных взломщиков. Чтобы не подарить сайт злоумышленникам, воспользуйтесь такими советами:

  1. Не используйте логин admin для входа в панель администратора сайта. Это первый вариант, который попробует пятиклассник Ваня, считающий себя начинающим хакером.

  1. Не используйте в качестве логина реальные имена и фамилии, а также публичные электронные адреса. Используйте логин, который не имеет отношения к вашему сайту и публичной деятельности.
  2. Создайте резервную учетную запись с правами администратора. Это необходимо на случай, если ваш админ уедет в отпуск, а вам придется быстро защищать сайт от атаки или восстанавливать данные.
  3. Следите за правами зарегистрированных пользователей. Не предоставляйте им права редактора или администратора без крайней необходимости.
  4. Лишайте пользователей административных прав и удаляйте их учетную запись в случае увольнения. Это актуально для крупных организаций, в штате которых работают десятки или сотни сотрудников. Обяжите отдел персонала уведомлять IT-службу об увольнении сотрудников и необходимости удалить их учетную запись.
  5. Не используйте в качестве пароля простые слова, комбинации цифр, имена, дни рождения.
  6. Не используйте один пароль для доступа к разным системам, например, к сайту, личной электронной почте и интернет-банкингу. Это особенно опасно, если ваш пароль легко подобрать.
  7. Не используйте общий пароль для всех сотрудников организации. В этом случае вам будет сложно контролировать безопасность сайта.
  8. Не используйте слишком сложные пароли, которые невозможно запомнить. В этом случае их придется записывать на бумагу. Например, некоторые люди вешают стикер с логином и сложным паролем на монитор компьютера, а потом жалуются на ужасных хакеров. Если вы все же записали пароль в блокнот, храните его в доступном только вам месте.

  1. Используйте надежный пароль. Используйте в кодовом слове комбинацию больших и маленьких букв, цифр, специальных символов. Если вы боитесь забыть пароль, придумайте короткую фразу, транслитерируйте ее и используйте без пробелов в качестве кода доступа. Например, фраза «я люблю летать на Сатурн» в качестве пароля будет выглядеть так: yalyublyuletatnasaturn. Этот пароль легко запомнить. Думаете, не вы один любите летать на Сатурн? Усложните пароль: Yalyublyule_tatnasaTurn48. Или так: Nasaturn_s_lenkoi_letatlyublyu.
  2. Следите за безопасностью в сети. Не давайте сторонним сайтам или сервисам доступа к вашему ПК.
  3. Регулярно изменяйте пароль от сайта. Делайте это каждые 90 дней, даже если вы уверены, что кодовое слово находится в безопасности. Ваша уверенность не защищает от возможности кражи пароля.
  4. Не отправляйте логин и пароль от сайта с помощью электронной почты. Если у вас нет другого выхода, отправьте пароль и логин с разных ящиков. Попросите получателя удалить письма после прочтения. Не пишите в теме письма слов «пароль», «логин», доступ к сайту» и т.п.
  5. Отправляя пароль с помощью электронной почты или мессенджера, убедитесь, что общаетесь с одним человеком. Например, проверьте, не отправляете ли вы кому-нибудь копии письма с паролем.
  6. Немедленно меняйте пароль и логин от сайта, который известен посторонним лицам. Например, если вы наняли на разовую работу программиста и дали ему доступ к административной панели, измените кодовое слово после завершения сотрудничества.
  7. Добавьте ресурс в сервисы «Яндекс.Вебмастер» и инструменты для веб-мастеров Google. В этом случае вы быстро узнаете о появлении на сайте вредоносного кода. Заранее подготовьтесь к необходимости экстренного восстановления сайта. Запишите телефон и электронную почту хостинг-провайдера, подумайте, какие каналы вы сможете использовать для общения с клиентами до восстановления ресурса.
  8. Регулярно создавайте резервные копии сайта или блога. Используйте для этого штатные средства CMS или дополнительные плагины. Храните резервные копии в надежном и доступном месте.
  9. Заранее узнайте, как восстанавливать данные с помощью резервных копий. Или убедитесь, что у вас есть контактные данные специалистов, которые помогут решить соответствующий вопрос.
  10. Регулярно обновляйте программное обеспечение. Это касается CMS, серверного программного обеспечения, плагинов для популярных блог-платформ и т.п.
  11. Защищайте сайт от взлома методом полного перебора. Для этого используйте CAPTCHA или программы, ограничивающие возможность входа в административную панель после нескольких неудачных попыток.

Описанные рекомендации защитят вас от хакеров-любителей, которые взламывают ресурсы ради спортивного интереса. Также соблюдение советов уменьшает вероятность потери сайта в результате направленных атак.

А как вы защищаете сайт или блог от взлома?

Источник: http://texterra.ru/blog/20-sovetov-po-zashchite-sayta-ili-bloga-ot-vzloma.html

Как защитить сайт от вирусов и взлома

  • 7 14
  • 1 —>

Цель взлома и заражения сайта вирусами — всегда получение материальной выгоды либо через манипуляции с данными, либо через использование ресурсов хостинга. Чтобы сохранить всю важную и конфиденциальную информацию от несанкционированного применения, а сам сайт оградить от эксплуатации сторонними лицами, необходимо надежно защитить ресурс.

После прочтения вы узнаете, как вирусы попадают на ресурс, какие могут быть последствия, про виды атак и действенные методы их предотвращения, а также как осуществляется проверка сайта на вирусы и что делать, если заражение все-таки произошло.

Статья будет полезна владельцам сайтов, программистам, разработчикам, администраторам ресурсов, веб-мастерам и всем сопричастным.

Как вирусы попадают на сайт

Чтобы понять, как защищать, важно знать, откуда берутся вирусы. Основные пути заражения:

  • скачивание и установка непроверенных программ с внедренными вредоносными элементами, цель которых — перехват доступа к протоколам CMS и/или FTP с их дальнейшей обратной отправкой;
  • посещение зараженных порталов;
  • автоматический или ручной подбор логина и пароля злоумышленниками, используемые для входа на сервер или CMS, и заражение изнутри с помощью прописанного кода;
  • использование шаблонов, плагинов и других компонентов с уязвимыми местами и дырами, через которые можно управлять ресурсом;
  • действия пользователей, оставляющих вредоносный контент (ссылки, файлы);
  • размещение рекламы от непроверенных источников и партнеров;
  • доступ через специальные файлы внутри сайта, например, adminer.php. Это утилита для быстрого доступа к базе данных, позволяющая при подборе пароля подключиться и заполучить доступ.

Помимо этого, взломать сайт можно из-за халатности специалистов, их неопытности или недостатка знаний, неправильного хранения информации. Не стоит исключать и прямую передачу сотрудниками (умышленно или неумышленно) конфиденциальной информации сторонним людям.

Что может получить взломщик и последствия от взлома сайта

Разработчики, продавцы вредоносного ПО и хакеры при взломе или заражении сайта вирусами получают доступ к важной информации и могут использовать ресурсы хостинга:

Что получатЧем грозит вам
ПаролиЧастичная или полная потеря контроля над ресурсом, финансами и базой данных
Клиентская база (email пользователей и другие данные)Рассылка пользователям спама для получения материальных выгод
Платежные данные пользователейЗаманивание клиентов на подставные страницы для кражи учетных записей от аккаунтов банков, платежных систем и сервисов для получения доступов, паролей, конфиденциальных данных, которые нужны для успешного проведения финансовых операций. Это убытки и потеря доверия клиентов
Возможность использовать сайт для рекламыНа страницах веб-ресурса будет появляться реклама, приносящая доход злоумышленникам, а вам неудобства и возмущения пользователей
Возможность проведения атак на другие сайтыРесурс используется в качестве прокси-сервера, через него осуществляют атаки для заражения других сайтов и получения хранящейся там информации. Так, взломщики подсаживают агентов-ботов и с их помощью проводят DDOS или брутфорс-атаки на ресурсы-жертвы.

Помимо потери финансов, баз данных, контроля над управлением ресурса, подмены контента и появление клонов, владельцы взломанного сайта сталкиваются с такими последствиями:

  • ощутимое сокращение трафика из-за потери доверия и ухудшения репутации;
  • санкции со стороны поисковых систем: роботы регулярно мониторят безопасность ресурсов для выявления вирусов и предотвращения заражения устройств пользователей. Если вредоносные компоненты есть — в сниппете появляется отметка:

    Естественно, посетители будут обходить сайт стороной, и как следствие, он пессимизируется или его вовсе удалят из выдачи;

  • потеря денежных средств владельцев или клиентов.

Виды взлома сайта

Для создания грамотной и эффективной защиты, важно знать, какие способы для проникновения и заражения используют хакеры. Ниже рассмотрим самые частые атаки.

SQL-инъекция

Цель: получить доступ к информации из баз данных. Так, злоумышленник получает возможность просматривать, изменять, добавлять, удалять данные, записывать и скачивать локальные файлы.

Как реализуется: на странице с первоначальным SQL-запросом код составляется таким образом, что при выполнении одного действия, выполняется то, что изначально в нем не заложено. При этом код не нарушает структуру запроса. SQL-инъекции возможны, если не проверять принятые от пользователя сведения.

Уязвимые места: вредоносные коды часто содержатся в формах подписки, оформления заказа, обратного звонка, регистрации, поиска по сайту и подобных.

Шеллы

Цель: полный доступ к сайту.

Как реализуется: через уязвимые места атакующий оставляет коды, внедряет программы или скрипты, обеспечивающие доступ к командной строке, файлам, данным. Например, почти у каждой CMS в административной панеле есть файловый менеджер, но проверяют его безопасность единицы. Хотя у него есть полные права на запись новых файлов на сайт. И если обратиться по прямой ссылке именно на файл-менеджер, то в старых системах открывается диалог для загрузки файла на сервер.

Уязвимые места: все формы для ввода данных, легкие пароли, использование небезопасных соединений, в том числе и общественные Wi-Fi.

XSS-атака

Цель: получение доступа к cookies и возможность сделать сайт неработоспособным.

Как реализуется: через ввод данных от пользователей отправляется вредоносный код.

Уязвимые места: формы регистрации, подписки, обратного звонка, заявки на заказ, чаты, комментарии.

Взлом через FTP или SSH

Цель: получить доступ к админке.

Как реализуется: войти в административную панель можно двумя способами. Первый — через подбор пароля к FTP-клиенту. Второй — перехват SSH-трафика.

Уязвимые места: ненадежные пароли — короткие, простые, с личными данными, а также установка непроверенных файлов и отсутствие антивируса, который смог бы их проверять. В итоге подобрать пароль дело нескольких часов, а загруженные файлы содержат вредоносные коды, отслеживающие передачу информации по FTP и SSH. Плюс ко всему, использование ненадежных и незашифрованных соединений.

Взлом phpMyAdmin

Цель: доступ к базам данных — чтение, изменение, кража, а также внедрение кода в шаблон для дальнейшего получения выгод.

Как реализуется: подбором логина и пароля к формам входа. Адрес инструмента практически всегда фиксированный — имя_сайта/myadmin или имя_сайта/phpmyadmin. Стоит набрать его и откроется форма авторизации, для которой подобрать пароль, чаще всего, вообще не проблема из-за очень простых комбинаций.

Уязвимые места: расположение формы для авторизации на стандартном адресе, плюс простой пароль.

Взлом через соседей по хостингу

Цель: контроль над управлением сайта, получение материальной выгоды, доступ к конфиденциальным данным, в том числе к контактам и номерам платежных карт.

Как реализуется: размещая на хостинге сайты, владельцы не задумываются о защите каждого из них. И получается, что к защищенному ресурсу можно пробраться через незащищенный.

Уязвимые места: незащищенные соседи по хостингу.

Брутфорс панели администратора

Цель: получить доступ к системным файлам, резервным копиям, всем данным, файловой системе для кражи конфиденциальных сведений, воровства контента или его полного удаления, размещения вредоносного кода.

Как реализуется: когда у хакеров не получается взломать CMS, они могут начать искать менее защищенные места. Для этого подбираются пароли и логины для входа в административную панель сайта.

Уязвимые места: форма авторизации в админку и очень легкие данные для входа. Простые комбинации цифр, даты, последовательное введение букв согласно раскладке клавиатуры попадают в топ популярных и вычисляются за 2–3 часа.

Уязвимости в скриптах плагинов и CMS

Цель: получить полный доступ ко всем данным сайта, воспользоваться конфиденциальной информацией, загрузить шелл-код и взять контроль над аккаунтом, закрыв его для владельца.

Как реализуется: если разработчики допустили ошибку или решили, что «и так сойдет», злоумышленники могут найти пробоину и воспользоваться ее, чтобы прописать вредоносный код или украсть данные.

Уязвимые места: открытый доступ к хостингу, бесконтрольное использование подключений, форма авторизации.

Dos и Ddos-атаки

Цель: заблокировать сайт, остановить работу некоторых функций, «закрыть» отдельные страницы, а как следствие — подорвать репутацию компаний.

Потенциальными жертвами Ddos-атак являются госучреждения, новостные порталы, сайты коммерческих и некоммерческих организаций, интернет-магазины. Любой ресурс может попасть под этот вид атак.

Как реализуется: Ddos-атаки — не взлом сайта как таковой. Атака заключается в одновременном поступлении большого количества запросов на сервер, которое он не в состоянии обслужить. Результат — ресурс виснет и перестает работать.

Уязвимые места: слабый сервер, незащищенное соединение.

Как бороться с каждым из видов атак рассмотрим ниже.

Во всех методах защиты сайта указан вид атаки, которому он может противостоять или снизить риск возникновения.

Методы защиты сайта

Все способы защиты делят на три большие группы:

Защита CMS

CMS — система управления сайтом и всей информацией на нем. Это сердце, а потому защита начинается именно с него. Используйте следующие методы и максимально обезопасьте ресурс.

SSL-сертификат

Протокол SSL обеспечивает надежную защиту данных в интернете за счет зашифрованной передачи информации. Для того чтобы такой уровень безопасности был доступен, важно иметь SSL-сертификат — электронную цифровую подпись вашего сайта, содержащую:

  • доменное имя;
  • сведения про юридическое лицо, на которое оформляется сертификат;
  • реальное местонахождение владельца;
  • срок действия;
  • основные данные о поставщике сертификата.

С помощью этой подписи вы подтверждаете, что домен принадлежит реальной компании, а владелец использует секретный ключ законно.

Сайт защищен SSL от фишинг атак, целью которых — получение паролей, кодов, данных для входа, номеров кредитных и депозитных карт, личных данных:

  • SQL-инъекций;
  • шеллов;
  • взлома phpMyAdmin;
  • взлома через соседей по хостингу.

SSL-сертификат в обязательном порядке необходим банкам, платежным системам, сервисам, работающим с персональными данными. Именно он предоставит защиту транзакций и перекроет доступ к любой конфиденциальной информации.

Где получить

Есть два способа получить SSL-сертификат: обратиться к провайдеру, предоставляющему поддержку SSL, или в центр сертификации.

Например, для сайтов, размещенных на сервисах Google (Google Мой бизнес, Blogger), а также для тех, кто сотрудничает с партнерами (Bluehost, Shopify, Weebly, Wix), сертификат выдается бесплатно.

Если обращаться в специализированные компании для сертификации, придется потратиться — до 100 $.

Читайте подробнее в статье о SSL-сертификатах.

Обновление движка сайта

Одно их важных условий безопасного функционирования ресурса — регулярное обновление CMS. Каждая новая версия движка устраняет ошибки и закрывает незащищенные места, через которые легко взломать сайт.

Обновление поможет избежать атак через уязвимость в скриптах плагинов и CMS. Это не гарантирует 100-процентную защиту, но минимизирует риск возникновения такого форсинга, как:

  • SQL-инъекции;
  • шеллы;
  • XSS.

Важно! Обновление происходит либо автоматически за счет самой системы, либо вручную. Отслеживать новые версии можно с помощью рассылки или RSS-канала.

Чаще всего CMS уведомляет пользователей о доступных версиях при входе в админку:

Нажав на Please update now (Обновить сейчас), вы запустите автоматическое обновление. Для успешного полного апгрейда система перенаправит вас на страницу Updates для обновления плагинов, если это нужно.

Другие CMS, как правило, так же уведомляют пользователей о новых версиях. Посмотреть и обновить движок можно через настройки в системе. Принцип у всех платформ одинаков. Но существуют еще системы, в которых автоматическое обновление отсутствует, например, SimplaCMS, OkayCMS. Учитывайте это при работе.

Использование проверенных скриптов

Часто в плагинах и программах находятся трояны в виде вируса, бэкдора или шелла.

Как защитить сайт от взлома? Только тщательная проверка источников и использование лицензированных компонентов помогут избежать «падения» ресурса. Если загружаете программы и скрипты, выбирайте только официальные источники разработчиков и поставщиков.

Пароли

Не используйте простые пароли или пароли с соцсетей, которые злоумышленники смогут подобрать программно.

Важно!

Создавайте пароли с помощью программ генераторов паролей (пример такого сервиса описан далее в статье) и меняйте их с регулярностью в несколько месяцев.

Плагины и скрипты защиты

Дополнительную защиту ресурсу обеспечивают специальные плагины. Их очень много, каждый предлагает комплексное решение для обороны от тех или иных атак, сканирование на наличие вирусов и попыток взлома, создание копий ресурса и других функций. Их быстро устанавливать, они просты в настройках и эффективно работают.

Приведем несколько примеров популярных плагинов для WordPress с ценами актуальными на август 2018 года:

Плагин, предлагающий 30 видов защиты от:

  • SQL-инъекций;
  • шеллов;
  • XSS;
  • взлома через FTP или SSH;
  • взлома phpMyAdmin;
  • взлома через соседей по хостингу;
  • взлома через уязвимости в движке;
  • брутфорс-атак и ботов, ищущих уязвимости ресурса;
  • защита от Ддос-атак на сайт.

iThemes Security находит бреши и подбирает способы их устранения, отражает любые атаки на файловую систему и базы данных, информируя вас об изменениях. К тому же плагин может менять IP пользователя, адрес админки, входа на сайт, путь к папке wp-content. С его помощью создаются бэкапы для быстрого восстановления утраченных данных.

Такая защита сайта от вирусов есть в бесплатной и платной версиях от 80 до 200 $ в год в зависимости от количества ресурсов.

Автоматически проверяет на заражения и попытки взлома. К основным функциям относятся распознавание вредоносного трафика, угроз, блокировка попыток внедрения вирусного кода и пользователей, нарушающих правила взаимодействия с сайтом, обеспечение безопасного входа. При дальнейшем сканировании предоставляет отчет с выявленными возможными проблемами и результатами борьбы с ними.

  • SQL-инъекции;
  • шеллы;
  • XSS;
  • взлом через FTP или SSH;
  • взлом phpMyAdmin;
  • взлом через соседей по хостингу;
  • взлом через уязвимости в движке;
  • а также обеспечивает защиту сайта от Ddos-атак.

Стоимость — бесплатно, но есть премиум версия за 8,25 $ в месяц.

Плагин проводит аудит безопасности, выявляет взломанные коды, следит за целостностью файлов, удаляет вредоносное ПО, обновляет ключи, пароли, дополнительно установленные плагины.

Противостоит и выявляет:

  • Dos и Ddos-атаки;
  • SQL-инъекции;
  • шеллы;
  • XSS-атаки.

Плагин совместим с WordPress, Joomla, Drupal, Magento и другими платформами и CMS.

Стоимость — от 200 $ в год.

Чтобы найти плагин для своей CMS, ищите по запросу «плагин для защиты сайта + название вашей CMS. Среди вариантов выбирайте наиболее популярный, с хорошими отзывами, широким функционалом и максимальным набором отображаемых атак.

Защита сервера

Для того чтобы сервер не был доступен для злоумышленников, выполняйте следующие меры предосторожности:

1. Ограничивайте пользователей в правах на доступ к базе данных.

Не давайте непроверенным людям прав доступа и пароли для входа в административную панель, возможность добавлять HTML-код. Проверяйте правильно ли настроены права к директориям, важным файлам и скриптам.

Если говорить о настройке прав на чтение и запись в папках, то большинство хостингов рекомендует права уровня 755 для папок и 644 только для файлов.

Это позволяет максимально эффективно защитить файлы: никто, кроме владельца, не может редактировать, перемещать, удалять файлы.

Права настраиваются с помощью хостинга или при подключении к сайту по SSH или FTP. В программе FileZilla нажимаем правой кнопкой мыши на нужном файле, и выбираем пункт «Права доступа к файлу».

А дальше указываем нужные права:

Это поможет бороться с:

  • Dos и Ddos-атаками;
  • SQL-инъекциями;
  • шеллами.

Кроме того, защита сайта от взлома PHP и через брутфорс панели администратора также будут на высоком уровне.

2. Отслеживайте, что вводит пользователь на сайте.

Справятся с этим специальные плагины, например, Wordfence.

Это поможет защитить сайт от спама и XSS-атак, которые часто проводят через формы обратной связи, заказа, подписки и так далее.

3. Постоянно меняйте пароли.

А создавая новый, учтите основные принципы надежности:

  • сложный набор цифр и букв;
  • очень длинный пароль — от 30 символов;
  • уникальные комбинации, нигде не применяемые;
  • не используйте имена, даты дней рождений, клички животных, телефонные номера, номера карт, паспортные данные;
  • не сохраняйте пароли в панели браузера или FTP клиенте, в почте или мессенджерах.

Создать сложный пароль помогут онлайн-генераторы. Вот так, например, работает «Генератор Безопасных Паролей»:

Изменить пароль можно через админку. Например, путь в WordPress — «Пользователи» → «Ваш профиль» → «Новый пароль»:

Поменять пароль в других платформах можно по такому же принципу.

Регулярная смена пароля сведет к минимуму такие попытки атак:

  • SQL-инъекции;
  • шеллы;
  • взлом phpMyAdmin;
  • взлом через брутфорс панели администратора;
  • взлом через FTP или SSH.

4. Создавайте бэкапы сайта: с помощью панели управления хостинга, плагинов или обращения к техподдержке хостинга.

У большинства хостингов есть возможность делать копии сайта. Для этого нужно зайти в панель управления, найти эту функцию и следовать инструкциям. Возьмем для примера хостинг ukraine.com.ua:

Создавать бэкапы можно и плагинами. Они бывают платными и бесплатными, с возможностью автоматического копирования, делают полные или частичные копии, сохраняют на компьютер или в облачный сервис.

Например, для WordPress есть такие плагины, как BackUpWordPress, BackWPup, BackupBuddy, Backup by Supsystic и очень много других. Выбирайте в зависимости от ваших задач, размера сайта, функциональных возможностей.

Проще всего сделать бэкап — обратиться к техподдержке хостинга и попросить настроить автоматическое копирование данных.

Совет! Создавайте бэкапы регулярно: хотя бы 2 раза в месяц и обязательно перед каждым обновлением движка.

Резервное копирование не защитит от взлома или вирусов, но поможет восстановить ресурс в случае потери данных или контента.

5. Переименуйте папки и файлы: вместо стандартных названий используйте придуманные.

Это не поможет защитить сайт от хакерских атак, но как минимум усложнит злоумышленникам задачу.

6. Закройте доступы к хостингу, кроме своего IP.

Сделать это можно через панель управления, вкладки с сайтами и ограничения. Так, чтобы закрыть сайт от всех и оставить его доступным определенным клиентам, нужно прописать код в файле .htaccess:

Order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx,

где xxx.xxx.xxx.xxx — ваш IP.

А таким кодом мы говорим, системе, какие IP не следует «пропускать»:

Order allow,deny
allow from all
deny from xxx.xxx.xxx.xxx

Важно!

Учтите, ваш IP должен быть статическим. Если он поменяется, у вас также возникнут проблемы с доступом на сайт.

7. Установите двухфакторную верификацию на вход или сделайте вход с подтверждением личности.

Функции устанавливается только на хостинге. Бывает вход по смс или вход через PUSH-сообщение.

Защита ПК

Компьютеры того, кто пользуется админкой и имеет доступ к важной информации на сайте, а также тех, у кого есть выход к серверу, нужно проверять на наличие вирусов. Справятся с этим антивирусы.

Постоянная защита веб-сайтов гарантирует сохранность данных и информации. Важно обновлять программы до актуальной версии.

Из рейтингов Роскачества и ICRT и СофтКаталог самыми надежными и популярными антивирусами являются:

Как узнать заражен ли вирусом сайт?

Многие хакерские атаки проходят незаметно для владельцев сайтов или имеют отложенный механизм действия. Последствия могут проявиться и на следующий день, и через несколько месяцев. Потому важно знать, заражен ли сайт вирусом.

Проверяют состояние ресурса онлайн-сервисами, вручную через сканирование антивирусом на ПК и через панель вебмастеров в Яндексе и Google.

Онлайн-сервисы

Сервисов, позволяющих проверить сайт в режиме онлайн, очень много. Все они имеют схожий принцип работы: вы просто вводите адрес ресурса и ждете проверки, которая занимает от нескольких минут до 4-х часов в зависимости от количества файлов.

Рекомендуем:

Antivirus-alarm

Проверка проходит так:

  1. Заходите на главную страницу сервиса, нажимаете «Проверка».
    В окошко вводите адрес сайта, анализ которого требуется.
  2. Ввод адреса ресурса для проверки

Ввод адреса ресурса для проверки
Ждете результат:

Результат проверки Antivirus-alarm

Проверка занимает не больше 3-х минут:

  1. Заходите на главную страницу — выбираете тип проверки. Мы анализировали ресурс полностью.
  2. Результат предоставляется в таблице. Подробности можете посмотреть в «Деталях»:

По такому же принципу работают и другие онлайн-сервисы:

  • скрытые редиректы;
  • зашифрованные скрипты;
  • шпионские вставки;
  • вирусные загрузки;
  • спам-атаки;
  • несанкционированное перенаправление;
  • ошибки на сайте.

Можно настроить автоматическую проверку ресурса.

2ip.ru

  • скорость интернет-соединения;
  • время загрузки страниц;
  • информацию о домене, системе управления сайтом;
  • доступность ресурса и посещаемость;
  • отдельные файлы на наличие вирусов;
  • SSL и другое.

Sucuri не только защитит ваш сайт от возможных атак, но и просканирует его на наличие спам-ссылки, дорвей-страниц, вредоносных скриптов, изменения в коде. Кроме того, сервис проверяет актуальность вашей CMS.

Узнав слабые места, вы защитите ресурс от несанкционированных атак.

Важно!

Сервисы работают с ошибками: результаты порой бывают неактуальными, и найденные вредоносные коды не являются вирусами.

А потому обязательно перепроверяйте данные и то, что сервис определил как угрозу. В этом случае вам поможет или разработчик сайта, или человек, который знает систему. Например, специалист по WordPress, Joomla, Bitrix и так далее. Процесс достаточно трудоемкий, так как иногда файлы, которые помечены как вирус, — новый функционал сайта, и сразу сложно определить выполняется что-то вредоносное или же это нужная функция на сайте.

Антивирусы на компьютере

Чтобы проверить сайт таким способом, нужно скачать все файлы с ресурса и каждый прогнать через обычный антивирус, который установлен у вас на компьютере.

Покажем процесс проверки на примере Avast:

    Откройте антивирус, перейдите на вкладку «Защита» → «Антивирус»:

Панель управления антивирусом Avast
Кликните на «Выборочное сканирование» и выберите нужную папку или файл:

Выбор способа сканирования
Проверка займет от пары минут до нескольких часов в зависимости от размера файлов и папок:

Процесс проверки
Дождитесь результатов сканирования:

Результаты проверки

Если антивирус найдет проблемы, он предложит автоматически их исправить.

Панель вебмастеров в Яндекс и Google

Узнать, есть ли вирусы на сайте, помогут и панели вебмастеров в Яндекс и Google.

Сообщения о взломе в Яндекс Вебмастере будут доступны на вкладке «Диагностика» → «Безопасность и нарушения»:

Проверка в Google Вебмастере доступна на вкладке «Проблемы безопасности»:

Что делать, если сайт заражен?

Если после проверки оказалось, что ресурс подвергся атакам и содержит вирусы, важно выполнить такие меры и использовать возможные способы защиты сайта:

1. Сразу же и в обязательном порядке изменить пароли к файлам и административной панели. Это можно сделать в настройках админки.

2. Проверить доступы и права, закрыть их при необходимости. Возможность управлять сайтом предоставляется через Яндекс Вебмастер или Google Search Console, закрыть доступ также можно через эти сервисы.

3. Поиск вредоносного кода можно проводить самостоятельно через Вебмастер (описывали выше) либо обратиться в техподдержку хостинга.

4. Проверить .htaccess из корня папки. Часто через этот код злоумышленники перенаправляют посетителей на другие сайты. Как правило, он имеет такой вид:

RewriteEngine On
RewriteCond % .*yandex.* [OR]
RewriteCond % .*google.* [OR]
RewriteCond % .*bing.* [OR]
RewriteRule ^(.*)$ http://имя_стороннего_сайта/index.php?t=6 [R=301,L].

Чтобы удалить этот или другие нетипичные коды, нужно зайти на сайт, найти файл .htaccess в корневой папке, удалить вредоносный редирект, сохранить изменения.

Удалить опасное ПО также помогут антивирусы и онлайн-сервисы: после проверки каждый инструмент предлагает «лечение» и дальнейшую защиту.

5. Если не удалось стереть вредоносные коды и удалить вирусы, воспользуйтесь бэкапом, который вы делаете как минимум 2 раза в месяц, для восстановления утраченных или измененных информации и данных. Это один из самых надежных способов вернуться к исходной точке.

6. Обратиться в техподдержку. Там подскажут решение именно вашей проблемы.

Чтобы атаки не повторялись, важно узнать пути заражения и уязвимости на сайте. Помогут в этом сервисы, рассмотренные в статье. А для создания безопасного ресурса и противостояния атакам используйте комплекс методов защиты из нашего материала.

Источник: http://livepage.pro/knowledge-base/protect-website-from-viruses.html

У вас в смартфоне дыра

Как крадут деньги через смартфоны и что с этим делать

У четырех из пяти россиян в возрасте 16—45 лет есть смартфон. Скорее всего, у вас тоже. Но вряд ли хотя бы один из пяти осознает, что смартфон — короткий путь к секретной информации. Через мобильные устройства злоумышленники добираются до личной переписки, банковских данных, паролей и денег.

Мобильный фишинг — новый тренд в мошенничестве. Разобраться в этой теме нам помог эксперт «Лаборатории Касперского» Виктор Чебышев, который знает о мобильных угрозах всё.

Кто в зоне риска

Жертвой мошенников может стать каждый пользователь смартфона на Андроиде. Основная проблема Андроида в том, что на него можно поставить программу из любого источника, в том числе пиратского. С июля по сентябрь 2015 эксперты из «Лаборатории Касперского» обнаружили 320 тысяч новых мобильных вредоносных программ для этой платформы.

В зоне риска любители бесплатных игр, программ и порно. Если вы набрали в Гугле «Angry Birds скачать бесплатно» или зашли на порносайт, где вам предложили «бесплатный доступ через приложение», — вы на пороге заражения.

Немного спокойнее могут себя чувствовать владельцы Айфонов. На эту платформу приходится только 0,2% вирусов и троянов. Однако это не значит, что Айфоны защищены: именно ложное ощущение безопасности делает их владельцев уязвимыми. Украсть деньги можно и через Айфон.

Главный фактор риска — это сам человек. Если он невнимателен, не понимает основ информационной безопасности и любит халяву, то он — идеальная жертва мошенников.

Больше всех рискуют любители халявы

Как цепляют вирусы

Открывают ссылки из смс. Вирусы умеют отправлять сообщения от имени реальных контактов. Вы думаете, что получили смс от родственника, и переходите по ссылке, скачиваете программу, а в ней вирус.

Не ходите по ссылкам, если не уверены в их надежности. Если ссылка пришла от знакомого, переспросите, действительно ли он отправил сообщение.

Переходят по ненадежной ссылке в интернете. Пользователи ищут интересный контент: бесплатную музыку, фильмы, игры, порно. Щелкают по ссылке, что-то скачивают, открывают, получают вирус.

Не ищите халяву или хотя бы делайте это с компьютера. На маленьком экране смартфона сложнее распознать подозрительный сайт и выше риск нажать не туда.

Открывают файлы и зловредные ссылки в социальных сетях. Здесь люди тоже попадают в западню в поисках контента. Например, посещают сообщества с играми и переходят по ссылкам в поисках бесплатных развлечений.

Устанавливайте приложения только из официального магазина: для Андроида это Гугл-плей

Попадают на страницы злоумышленников со взломанного сайта. Например, заходишь читать отраслевые новости на знакомый сайт, как вдруг автоматически скачивается какая-то вроде полезная программа.

Не запускайте непонятные файлы, даже если они скачались со знакомого сайта. Если что-то скачалось само, скорее всего, это вирус

Совет от «Лаборатории Касперского»

Чтобы заразиться, достаточно открыть файл, полученный из ненадежного источника. После этого программа устанавливается и невидимо, в фоновом режиме выполняет всё, что в нее заложил автор.

Необходимость открыть файл — слабая защита для пользователя. Люди запускают и подтверждают всё что угодно — особенно когда ищут действительно интересный для них контент, например порно. Поэтому лучше не допускать, чтобы файл с вирусом попал на смартфон.

Лучше всего использовать комплексное решение для борьбы с вредоносными программами, например Kaspersky Internet Security для Android. Такой инструмент защищает сразу по всем фронтам: не только выявляет вирусы, но и проверяет смс, инспектирует ссылки в браузере и загружаемые файлы, а также периодически сканирует телефон на предмет угроз.

Антивирус — это еще и единственный способ обнаружить, что телефон уже заражен, и вылечить его.

Программы, которые отправляют платные смс

Вирус, который рассылает смс на платные номера, — самый простой сценарий. Злоумышленнику не нужны даже банковские данные жертвы. Программа незаметно отправляет сообщения на короткий номер, и деньги со счёта уходят мошеннику.

В описание некоторых смс-вирусов авторы даже включали мелкий текст, по которому пользователь соглашался на платную подписку. Конечно, этого никто не читал, но формально получается, что жертва давала согласие на списание денег.

Чтобы защитить абонентов, операторы ввели двойное подтверждение платных смс: это когда после отправки сообщения вам приходит запрос и вы должны подтвердить его еще одним смс. Второе сообщение уже никак нельзя замаскировать, его должен отправить лично пользователь. Воровать деньги через платные смс стало сложнее, и популярность этих вирусов пошла на спад.

Если пришел запрос на подтверждение платного смс, а вы ничего не отправляли, проверьте телефон антивирусом, он может быть заражен. Если у вас стали быстро кончаться деньги на счете, посмотрите на историю списаний в личном кабинете мобильного оператора.

Не подтверждайте платные услуги, которые вы не заказывали

Программы, которые перехватывают смс от банка

Когда вы покупаете что-то по карточке в интернете, банк присылает смс с кодом подтверждения. Хакеры заражают телефоны вирусами, которые перехватывают такие коды.

К счастью, одного кода из смс мошеннику недостаточно, чтобы украсть деньги со счёта. Нужны данные карты, чтобы провести по ним платеж и подтвердить его кодом из перехваченного смс.

Поэтому обычно сначала мошенники добывают данные карты, а потом уже заражают смартфон. Например, размещают QR -код со ссылкой на вредоносную программу и пишут, что там лежит приложение для скидок.

Как не попасться на удочку хакеров

Вирусописатели ведут целые базы зараженных смартфонов — ботнеты. Вредоносные программы на этих устройствах дремлют на случай, если когда-то понадобятся злоумышленникам. Например, когда у мошенника есть данные карты жертвы, но нет доступа к ее телефону, он идет в ботнет. Если найдет там нужное устройство, то активирует и использует вирус.

Берегите данные карты. Когда что-то покупаете в интернете, риск нарваться на вирус выше обычного

Программы, которые маскируются под мобильный банк

Когда вы запускаете мобильный банк, зловредная программа замечает это, перехватывает управление и уводит вас к себе. После этого программа выбирает подходящее оформление и маскируется под банковское приложение. Вы не замечаете подвоха, вводите в приложении данные карты, и они утекают к мошеннику.

Помимо банков такие программы маскируются под магазины приложений, например Гугл-плей. В них пользователи тоже охотно вводят данные карточки.

Число поддельных мобильных банков растет быстрее всего: в 3 квартале 2015 в «Лаборатории Касперского» нашли в 4 раза больше таких программ, чем за предыдущие три месяца. Сейчас эксперты знают 23 тысячи программ, маскирующихся под приложения банков.

Будьте внимательны, когда открываете мобильный банк. Если видите что-то необычное при запуске или во внешнем виде приложения, это симптом. Если приложение требует лишнюю информацию, например номер карты, бейте тревогу.

Аккуратнее с приложениями банков. Помните: банк никогда не спросит у вас данные карты или пароль

Программы, которые используют смс-банк

У некоторых банков есть функция, когда командой в смс-сообщении клиенты переводят деньги, оплачивают услуги и совершают прочие операции. Это удобно, но, если телефон заражен, зловредная программа такой командой переведет деньги на интернет-кошелек или счет мобильного телефона злоумышленника.

Оцените, готовы ли держать такую брешь. Возможно, проще отключить эту услугу. Если смс-банк вам необходим, ставьте антивирус.

Пользуетесь смс-банком? Ставьте антивирус

Программы, которые получают права суперпользователя

Обычно права суперпользователя — так называемый рутинг телефона — получают продвинутые пользователи, чтобы снять ограничения производителя и свободно манипулировать функциями смартфона.

К сожалению, хакеры постоянно находят уязвимости в мобильных операционных системах. В том числе такие, которые позволяют безобидным с виду приложениям сделать рутинг смартфона без ведома пользователя.

Например, вы скачиваете из магазина приложение «Фонарик». Оно не просит доступ ни к каким системным возможностям, ему даже смс неинтересны. Но если у вас несвежая операционная система, если в ней уязвимость, то «Фонарик» сделает рутинг смартфона, а вы даже не заметите.

После этого злоумышленник получит полный доступ к устройству и всем приложениям. Он зайдет в мобильный банк и украдет оттуда номера карт и пароли.

Борьбу с такими вирусами осложняет то, что многие производители годами не обновляют программное обеспечение на своих телефонах, поэтому уязвимости, которые находят хакеры, никто не устраняет. Особенно это касается дешевых устройств.

Опасные программы встречаются даже в официальных магазинах. Чтобы снизить риск, обращайте внимание на рейтинг приложения, отзывы и количество скачиваний. И не забывайте обновлять антивирус.

Обновляйте антивирус и операционную систему на смартфоне. Не ставьте странные приложения без рейтинга и отзывов

Источник: http://journal.tinkoff.ru/smartphonesecurity/

Как защитить сайт на WordPress

Система управления сайтом WordPress приобретает все большую популярность. Сегодня, свыше 30 % сайтов в интернете работает на Вордпресс. Такую популярность система завоевала за счет своей простоты и удобства. Именно поэтому WordPress стала одной из самых взламываемых CMS. В этой статье Вы узнаете простые способы, как защитить сайт wordpress от взлома, и оградится от внедрения вредоносного кода.

Написать статью я решил после хакерской атаки на свой блог. Подробно о принципе взлома системы я написал в этой статье. После восстановления корректной работы блога, я пришел к выводу о необходимости построения надежной защиты сайта. Все советы, которые озвучены в статье, испытаны мною лично, и не требуют особых знаний в использование CMS WordPress.

1 совет – устанавливайте только проверенные плагины

Первый совет, как защитить сайт – это тщательно проверять устанавливаемые плагины. Перед установкой необходимо проверить количество скачиваний и отзывы о плагине. Это не даст 100% защиты от взлома, но снизит риск от хакерской атаки. Желательно свести количество установленных плагинов к минимуму, дорабатывая сайт путем установки дополнительного кода.

В настоящее время, именно через плагины взламывается большинство сайтов WordPress. Сторонний код плагина интегрируется в систему кода сайта, и злоумышленники получают возможность установить вредоносное дополнение. Именно поэтому актуально минимизировать количество установленных плагинов и дорабатывать сайт с помощью php-кода.

Из собственного опыта перечислю те виды плагинов, которые желательно установить на сайт WordPress:

  • Плагины кеширования – для быстрой загрузки страниц сайта
  • Плагин SSL сертификата – для дополнительной защиты передачи информации
  • Плагин AMP страниц – для создания быстрых страниц и повышения ранжирования в Google
  • Плагин защиты от спама
  • Плагин защиты системы от взлома
  • Плагин для SEO оптимизации сайта.

Это минимально – необходимый набор плагинов, устанавливаемый на сайт WordPress, и позволяющий обеспечить его эффективную работу. Про некоторые плагины из этого списка мы поговорим далее.

2 способ – устанавливаем плагин защиты WordPress

Установка плагина защиты помогает значительно повысить защищенность сайта. В первую очередь, плагин защищает от уязвимого кода и файлов. Сканируя систему, он предлагает удалить те фрагменты, через которые можно внедрить вредоносный код. Например, безопасность блога обеспечивает популярный плагин Wordfense.

Плагин Wordfense не обеспечивает полную защиту сайта от взлома, а указывает на потенциальные проблемы системы. Сканируя сайт, Вы находите уязвимости и ненужные файлы в системе. Это один из самых корректных плагинов для защиты, тк он заточен на работу с сайтами WordPress. Стоит учитывать, что плагин создает дополнительную нагрузку на хостинг, поэтому перед установкой необходимо учитывать данный фактор.

3 способ – использование сложного пароля

При входе в систему необходимо использовать сложный пароль. Это аксиома, которую должен знать каждый вебмастер. Для решения этой задачи можно прочитать статью, как создать надежный пароль от компании Google. Главный принцип сложного пароля – это отсутствие какой либо последовательности и большое число символов. Как правило, надежным считается от количество от 12 знаков и букв.

4 способ – ограничение попыток входа на сайт

Один из самых эффективных способов защиты от прямого взлома сайта – это установка плагина, ограничивающего количество попыток авторизации. Благодаря этому, человек, который ввел логин и пароль ограниченное количество раз, теряет доступ к панели входа. Обычно разрешается авторизоваться 3 раза. Вы можете увеличить это числе до 4 или 5.

Чтобы активировать данную функцию, необходимо установить специальный плагин Limit Login Attempts Reloaded. Установка данного плагина имеет смысл, если Ваш сайт посещают большое количество пользователей в конкурентной тематике и есть опасность взлома со стороны конкурентов. Установка плагина сделает прямой взлом практически невозможным, и защитит сайт на 99 %.

5 способ – скрываем файлы wp-config.php и .htaccess

Еще один популярный путь попадания злоумышленников в систему WordPress – это файлы wp-config.php и .htaccess. Получив доступ к директории без взлома, и внеся небольшие изменения в данные файлы, хакеры могут добавить в систему вредоносный файл. Как правило, изменениям подвергается файл .htaccess. Взломав этот файл, злоумышленники делают перенаправления на фишинговые сайты или «мусорные» ресурсы.

Самый простой способ защитить от взлома wp-config.php и .htaccess – скрыть их из директории. Если Вы хотите воспользоваться данным шагом, то сначала необходимо сделать резервную копию сайта. После этого, чтобы скрыть файл wp-config.ru внесем в него такую часть кода:

Чтобы скрыть файл .htaccess в него необходимо добавить код:

После установки данного кода необходимо проверить работу сайта. Если Все сделано правильно, то сайт будет работать в штатном режиме.

6 способ – не использовать бесплатные премиум темы

Еще один важный способ защиты – это отказаться от использования бесплатных «премиум» шаблонов. Очень часто, злоумышленники предлагают бесплатную установку премиум шаблонов на сайт WordPress. Самое безобидное, что может быть в таком шаблоне – это вшитые ссылки на сторонние ресурсы. Однако зачастую, кроме внешних ссылок в таком шаблоне присутствует вредоносный код.

В последнее время такой способ взлома получает все большее распространение. В надежде получить бесплатную премиум тему, вебмастера устанавливают шаблон с вредоносным кодом. В данном случае, все вышеперечисленные способы защиты будут бесполезны и для восстановления необходимо откатить сайт до предыдущего шаблона. Защититься от такого взлома можно только одним способом – устанавливать платные темы только от самих разработчиков.

7 способ защиты – обновлять сайт WordPress

На сайтах WordPress постоянно выходят новые обновления, которые устраняют различные недостатки. Бывают обновления, в которых разработчики совершают ошибки и такие версии WordPress необходимо обновить как можно скорее. Если Вы давно пользуетесь WordPress, то наверняка помните критические ошибки в 3 и 4 версии, исправить которые можно было через установку обновления.

Можно не устанавливать обновление на Вордпресс сразу после выхода. Подождав некоторое время, почитайте отзывы вебмастеров о работе актуальной версии. Если текущая версия имеет проблемы, то можно не торопиться с установкой. Если устанавливать обновление спусти 2-3 месяца после выхода, это не несет существенного урона сайту. Главное – чтобы текущая версия сайта работала корректно.

Вместо заключения

В статье я озвучил 7 основных способов, как защитить сайт WordPress от взлома. В интернете имеются статьи в которых даются другие способы защиты. Рассмотрим наиболее популярные способы, не вошедшие в данную статью, но требующие рассмотрения. Начнем с наиболее часто встречающего совета – изменение URL адреса для входа в админку.

Данный способ защиты подразумевает дополнительную защиту от прямого взлома, и не способен предотвратить установку вредоносного кода на сайт. Именно поэтому я не рассматриваю его в данной статье. Кроме того, если Вы опасаетесь взлома сайта, рекомендую Вам подробно ознакомиться с двух факторной авторизацией на WordPress.

Установка SSL сертификата. SSL сертификат изначально разработан как способ защиты при совершении денежных транзакций через сайт. Сам сертификат не является способом защиты от установки кода или взлома сайта, а шифрует информацию при передаче данных от пользователя к сайту (и наоборот). В то же время, в настоящее время желательно использовать сертификат для повышения ранжирования в Google и доверия со стороны поисковых систем.

Отключение доступа к панели редактора. Очень популярный совет для защиты сайта вордпресс – это отключить доступ к панели редактора. Считается, что злоумышленники, взломав Ваш сайт, внедрят через редактор вредоносный код. Данный сценарий защиты уже предусматривает взлом сайта, и только ограничивает функционал админки, который нетрудно восстановить. Именно поэтому не вижу необходимости описывать представленный способ как защиту сайта.

Теперь Вы знаете, как защитить сайт WordPress от взлома и установки вредоносного кода. Если Вам известны эффективные способы противостоять угрозе, не представленные в обзоре – обязательно пишите в комментариях. Желаю Вашему сайтам бесперебойной работы и надежной защиты от хакерских атак.

Кстати, на моем блоге есть другие интересные статьи про Вордпресс:

Источник: http://bloogit.ru/poleznoe/kak-zashitit-sait-wordpress-ot-vzloma.html

Методы взлома хакерами учетной записи Gmail и способы защиты от них

Читайте, какими способами хакеры могут взломать учетную запись Gmail всего за несколько минут. А также, способы защититься от них.Интернет – это обширнейшая сеть, предоставляющая доступ к самой разнообразной информации. С помощью интернета мы можем получать всегда самые свежие новости, учиться, получить доступ к миллиону книг и журналов по всему миру, просматривать любые фильмы и передачи, слушать музыку, общаться с друзьями, управлять финансами и мобильными офисами и т.д.

И это далеко не полный список наших возможностей. Мы можем вести деловую и личную переписку посредством электронной почты, отсылая и принимая разные конфиденциальные документы. Самая главная черта Интернета – это его доступность, мобильность и скорость передачи информации, позволяющая нам моментально реагировать на любые изменения.

Как взломать пароль учетной записи «Gmail»?

  1. Фишинг
  2. Социальная инженерия
  3. Простой захват пароля
  4. KeyLogger
  5. Расширение браузера для взлома «Gmail»
  6. Уязвимости браузера
  7. Уязвимость Self XSS
  8. Троян
  9. Gmail Zero Day

Один из самых популярных инструментов, предоставляющий нам доступ ко всем возможностям Интернета (социальная сеть, видео хостинг, новостной портал, сетевое хранилище и т.д.), в том числе, и к электронной почте является «Google». Но так как в Интернете хранится большой объем разнообразной информации, среди которой много личной информации, то обязательно присутствуют и злоумышленники, пытающиеся ее украсть. Поэтому не удивительно, что запрос «взлом Gmail» или «взлом Google» – это второй по популярности вопрос для взлома учетной записи в Интернете, конкурирующий только с «взломом учетной записи Facebook». Эта статья похожа на написанную нами ранее статью «Методы взлома хакерами учетной записи в Facebook и способы защиты от них», где мы уже рассматривали разные способы взлома личной учетной записи.

Люди думают, что взломать учетную запись «Gmail» легко, и все, что им нужно, – это найти подходящий инструмент для взлома (напрямую или удаленно), но это не так. Мы обнаружили, что вы можете найти огромное количество инструментов для взлома по всему Интернету. Однако, все они поддельны, так как хакеру не зачем делиться рабочим инструментом для взлома, ведь его цель – личное обогащение. И выкладывать в Интернет свой инструмент бесплатно никто не будет.

Безусловно, такая известная инновационная компания как «Google», обладающая многомиллиардными активами и имеющая работников по всему миру, знает и всегда исправляет существующие методы взлома в отношении своих продуктов. Одним из способов определения методов взлома «Google» является бонусная программа «Google Bug Bounty», где энтузиасты-исследователи безопасности и охотники за ошибками со всего мира находят и сообщают об уязвимостях безопасности (любые хакерские приемы или слабости защиты отдельных узлов системы) в соответствующую службу компании «Google». Разработчики немедленно исправляют найденные уязвимости и компания «Google» вознаграждает тех людей, которые предоставили им ответственное раскрытие.

Тогда почему все же некоторые аккаунты учетной записи «Gmail» оказываются взломанными, если нет инструмента для взлома? Нет простого способа взломать учетную запись, но это не значит, что такое невозможно. Да, такие способы существуют. Мы подготовили подробный список того, как хакеры могут взломать вашу учетную запись «Gmail/Google» и профилактические меры по ее защите.

Пожалуйста, имейте в виду, что эта статья размещена только для ознакомления и не должна использоваться в злонамеренных целях.

1. Фишинг

Фишинг является наиболее распространенным методом, используемым для взлома пароля учетной записи «Gmail», и имеет самый высокий коэффициент успеха, по сравнению с другими способами взлома, из-за высокой схожести внешнего вида и макета сайта с оригиналом. Для получения фишинговой страницы не требуется особых технических знаний, поэтому фишинг широко используется для взлома паролей «Gmail».

Как работает фишинг?

Простыми словами, фишинг – это процесс создания дублированной копии страницы известного сайта в целях кражи пароля пользователя или другой важной информации, такой как данные кредитной карты. Применительно к нашей теме, это создание страницы, которая выглядит так же, как и страница входа в «Gmail», но имеющая другой URL-адрес. Например, gooogle.com или gmaail.com или любой другой URL-адрес, очень похожий на оригинал. Когда пользователь переходит на такую страницу, он может не заметить обман и принять ее за настоящую страницу входа в «Gmail», и ввести свои имя пользователя и пароль. Таким образом, пользователь который не смог распознать фишиноговую страницу, может ввести свою регистрационную информацию. Она моментально будет отправлена хакеру, который создал поддельную страницу, а жертва будет перенаправлена на исходную страницу «Gmail».

Пример: хакер – программист, обладающий некоторыми знаниями в веб-технологиях (хакер «Gmail» в нашем случае). Он создает страницу входа в систему, которая выглядит как страница входа в «Gmail» со сценарием «PHP» в фоновом режиме, что помогает хакеру получать имя пользователя и пароль, введенные на фишинговой странице. Программист поместил эту поддельную страницу в URL-адрес: https://www.gmauil.com/money-making-tricks.html. И рассылает сообщения для привлечения пользователей к своей странице. Обязательно все сообщения имеют привлекательный вид и заманивают пользователей, обещая разные выгоды. В нашем случае хакер предлагает ссылку на страницу, объясняющую легкий способ заработка в сети Интернет. Перейдя по ссылке, пользователь увидит страницу входа в «Gmail» и введет свои имя пользователя и пароль. Теперь регистрационная информация пользователя будет отправлена хакеру (фоновый «php» выполнит этот процесс отправки незаметно для пользователя), а пользователь-жертва будет перенаправлен на страницу, посвященную заработку, https://www.gmauil.com/money-making-tricks.html. Процесс взлома учетной записи пользователя завершен. Подробнее о фишинге вы можете прочитать в нашей статье: «Что такое фишинг, общее представление и примеры».

Как защитить себя от фишинга «Gmail»?

Хакеры могут связаться с вами разными способами, например, по электронной почте «Gmail», личным сообщением, сообщением в социальной сети, объявлением на сайте и т.д. Нажав на какие-либо ссылки из таких сообщений, вы можете попасть на страницу входа в «Gmail». Всякий раз, когда вы видите перед собой страницу входа в «Gmail» или «Google», обязательно проверьте URL-адрес такой страницы. Потому что никто не сможет использовать оригинальный URL-адрес «Google» для создания фишинговой страницы, кроме случаев, когда есть уязвимости XSS нулевого дня, но это бывает очень редко.

  1. Какой URL-адрес вы видите в адресной строке браузера?
  2. Это действительно https://mail.google.com/ или https://www.gmail.com/ (косая черта важна, поскольку она является единственным разделителем в браузере «Google Chrome», чтобы отличать домен и дополнительный домен)?
  3. Есть ли зеленый символ безопасности(HTTPS) или зеленый замочек, указанный в адресной строке?

Ответы на эти вопросы значительно увеличат ваши шансы вовремя распознать фишинговую страницу и сохранить вашу конфиденциальную информацию в безопасности. Ниже приведены примеры фишинговых страниц.

Вариант фишинговой страницы с высоким уровнем достоверности.

Большинство людей не заподозрят такую страницу (снимок, указанный выше), так как присутствует префикс «https» с замочком безопасности зеленого цвета, и нет ошибок в написании страницы «accounts.google.com». Но это фишинговая страница. Обратите внимание на URL-адрес. Это «https://accounts.google.com.beck.com», поэтому «accounts.google.com» является субдоменом «beck.com». «Google Chrome» не отличает поддомен и домен в отличие от «Firefox».

«SSL-сертификаты» (HTTPS) могут быть получены от многих поставщиков, некоторые из которых могут предоставить «сертификат SSL» бесплатно на срок до одного года. Не так уж и сложно создать подобную фишиноговую страницу, поэтому остерегайтесь таких подделок.

Это обычная фишинговая страница с некоторой модификацией слова «Google».

2. Социальная инженерия

Это второй по популярности метод взлома учетных записей «Gmail». На самом деле этот метод не должен подпадать под определение хакерства. Но мы решили указать его здесь, чтобы представить самый полный список наиболее распространенных методов, используемых для взлома учетной записи «Gmail» в соответствующем порядке. Социальная инженерия – это в основном процесс сбора информации о пользователе, чей аккаунт вам нужно взломать. Такая информация, как дата рождения, номер мобильного телефона, номер мобильного телефона друга или подруги, прозвище, имя матери, место рождения и т.д. помогут хакеру взломать учетную запись «Gmail».

Как работает Социальная инженерия?

Контрольный вопрос

Многие веб-сайты применяют единый механизм сброса пароля, называемый вопросом безопасности или контрольным вопросом. Самыми распространенными вопросами безопасности будут такие: «Каков ваш ник?», «Место, где вы родились?», «Назовите ваш любимый город?». Или любые индивидуальные вопросы, заданные самим пользователем. Получение такой информации от соответствующих людей может позволить взломать их учетную запись. «Gmail» также использует вопросы безопасности как вариант восстановления пароля. Поэтому, если кто-нибудь узнает ответ на такие вопросы, он может взломать вашу учетную запись, используя опцию восстановления пароля.

Наиболее распространенные и слабые пароли

Вопрос безопасности не позволяет легко входить в учетную запись «Gmail». Но использование для входа в учетную запись слабых паролей может легко позволить любому взломать ваш аккаунт. Что такое слабый пароль? Пароль, который может быть легко угадан или подобран третьим лицом, называется слабым паролем. Ниже приведены некоторые из наиболее распространенных паролей, которые люди обычно используют в «Gmail».

  • Номер мобильного телефона
  • Логин или имя и дата рождения
  • Номер мобильного телефона друга или подруги (наиболее часто встречается)
  • Имя друга или подруги (также часто встречающийся вариант)
  • Комбинация собственного имени пользователя и имени друга или подруги
  • Номер автомобиля
  • Неиспользуемый или старый номер мобильного телефона
  • Прозвище домашнего питомца
  • Имя близкого родственника (матери, отца, сестры, брата)
  • Общеизвестные простые пароли (123456,654321, 111111, password)

Обязательно проверьте свой пароль на соответствие вышеуказанным вариантам. В случае совпадений, измените свой пароль на более сложный. Этот простой способ поможет вам избежать взлома учетной записи и потери своих конфиденциальных данных в будущем.

Как защитить себя от социальной инженерии?

Контрольный вопрос

Во-первых, выбирайте такой контрольный вопрос, чтобы ответ на него был известен только вам. Никому не сообщайте выбранный вариант вопроса и ответ на него. Во-вторых, в настройках учетной записи пользователя задайте дополнительные адрес электронной почты и номер мобильного телефона, чтобы «Google» мог быстро уведомить вас в случае несанкционированного доступа к вашей учетной записи.

3. Простой захват пароля

Это еще один распространенный метод, часто используемый для кражи пароля пользователя в «Gmail». Многие люди не знают об этом методе, но традиционные хакеры используют этот метод для взлома учетных записей пользователей.

Как работает простой захват пароля?

В этом методе хакер (злоумышленник) нацелен на какой-либо сайт, обладающий низким уровнем защиты от взлома, где пользователь-жертва зарегистрирован. Хакер взламывает базу данных такого сайта и получает сохраненные имя пользователя и пароль жертвы. Но как хакер может получить доступ к «Gmail»? Многие из нас часто используют один и тот же пароль для «Gmail» и разных других сайтов, не обладающих достаточно сильной защитой от взлома. Поэтому взломав слабозащищенный сайт, хакер может получить пользовательские данные для доступа в «Gmail».

Иногда хакер создает новый веб-сайт с целью получения базы имен пользователей и паролей потенциальных жертв. Всякий раз, когда пользователь регистрируется на таком сайте, его электронная почта и пароль, будут храниться в базе данных сайта. Таким образом, хакер получает доступ к вашей регистрационной информации. Поэтому, если пользователь использует одни и те же адрес электронной почты и пароль для регистрации на «Gmail» и других сайтах, то шанс получить взломанную учетную запись «Gmail» существенно возрастает.

Как защитить себя от простого захвата пароля?

Вы никогда не должны доверять сторонним сайтам низкого качества. Даже популярные веб-сайты, такие как «LinkedIn», могут быть взломаны. Большинство сайтов хранят пароли пользователей в простой базе данных, даже не думая о ее шифровании или дополнительной защите. Это облегчает работу хакеров, нацеленных на взлом сайтов, поскольку пароль хранится в виде обычного текста. Лучший способ защиты от такого метода – иметь уникальный пароль, по крайней мере, для сайтов, которым вы действительно доверяете. Не используйте свой пароль «Gmail» для любого другого веб-сайта, и тогда ваш пароль никогда не будет раскрыт.

4. KeyLogger

Keylogger – это программный инструмент, используемый для записи нажатий клавиш на компьютере. Он, в свою очередь, записывает все данные, которые вы вводите, используя клавиатуру, и сохраняет их для дальнейшего использования.

Как работает Keylogger?

Все кейлогеры запускаются в фоновом режиме (кроме пробных версий) и не будут доступны для просмотра пользователю, пока он не узнает пароль кейлоггера и ярлык, используемые для его просмотра. Он будет записывать все нажатия клавиш и сохранит подробный отчет о том, когда и какие пароли использовались для какого приложения. Любой, кто прочитает журналы кейлоггеров, может увидеть пароль «Gmail» или любые введенные пароли и другую конфиденциальную информацию, например данные кредитной карты, пароль авторизации банковской учетной записи и т.д. Всякий раз, когда вы входите в систему на общедоступном компьютере, есть вероятность, что ваш пароль может быть взломан.

Ваш знакомый может попросить вас войти в систему, используя его компьютер. И если на нем установлен кейлоггер, то, скорее всего, ваша учетная запись будет взломана.

Как вы можете защитить себя от кейлоггера?

Вы должны опасаться кейлоггеров, особенно, когда вы используете любой общедоступный компьютер или компьютер вашего друга. Одним из способов защиты является использование «экранной клавиатуры», когда вам нужно ввести пароль. Обязательно убедитесь, что никто не видит ваш экран во время ввода пароля, так как на экране будет видно все, что вы набрали.

Вы можете открыть «Экранную клавиатуру» с помощью диалогового окна «Выполнить». Нажмите сочетание клавиш «Windows + R», в диалоговом окне введите команду «osk» и нажмите клавишу «ОК». В настоящее время «Экранную клавиатуру» также поддерживают многие банковские порталы, что дает вам дополнительную защиту. Поэтому, пожалуйста, всегда используйте ее, при просмотре страниц в интернете на общедоступных компьютерах, чтобы сохранить свою конфиденциальную информацию в секрете.

5. Расширение браузера для взлома «Gmail»

Этот метод не позволяет злоумышленнику получить полный доступ к вашей учетной записи «Gmail», но дает возможность контролировать вашу учетную запись опосредованно. Мы сталкивались с несколькими расширениями «Google Chrome» и «Firefox», которые тайно выполняют разнообразные действия, такие как размещение сообщений в «Google +», добавление отметки «+1» и т.д.

Как работает расширение браузера, взламывающее «Gmail»?

Когда вы посещаете некоторые вредоносные веб-сайты или веб-страницы, вам будет предложено установить расширение браузера. В случае его установки расширение выполнит все задачи, описанные хакером, который его создал. Расширение может обновлять ваш статус, публиковать различные сообщения, приглашать друзей, вступать в различные круги и т.д. Вы можете даже не узнать об этом, если вы долго не заглядывали в свою учетную запись «Google».

Как предотвратить такой взлом?

Вы можете отслеживать все свои действия, записи и комментарии в своей учетной записи «Gmail» с помощью функции «Журнал активности». Вы не должны доверять посторонним веб-сайтам, которые предлагают вам добавить расширение браузера. Устанавливайте расширения только в том случае, если вы доверяете разработчику. Вы не должны рисковать своей информацией, если сомневаетесь в свойствах предлагаемого расширения, и всегда старайтесь избегать их установки.

6. Уязвимости браузера

Уязвимости браузера – это ошибки безопасности, которые существуют в более старых версиях мобильных и стационарных браузеров.

Как работают уязвимости браузера?

Большинство уязвимостей браузера доступны только в старых версиях браузера, поскольку все найденные ошибки и уязвимости исправляются разработчиком браузера при каждом его следующем обновлении. Например, уязвимость браузера с одинаковой исходной политикой может позволить злоумышленнику прочитать ответ любой страницы, например «Gmail». И сможет выполнить любые действия в вашей учетной записи «Gmail», поскольку злоумышленник может прочитать ответ, обратившись к источнику «Google.com».

Как защитить себя от уязвимостей браузера?

Старайтесь использовать последние версии браузера и операционной системы и регулярно обновляйте их. Избегайте работать в старой версии браузера, чтобы уменьшить риск хакерского взлома вашей учетной записи.

7. Уязвимость Self XSS

«XSS» – это в основном уязвимость веб-безопасности, которая позволяет хакерам внедрять вредоносные скрипты в веб-страницы, используемые другими пользователями. «Self XSS» (Self Cross Site Scripting) – это своего рода атака социальной инженерии, где жертва случайно выполняет сценарий, тем самым помогая хакеру.

Как работает «Self XSS»?

В этом методе хакер обещает помочь вам взломать чужую учетную запись «Gmail». Но вместо того, чтобы предоставить вам доступ к чужой учетной записи, хакер запускает вредоносный «Javascript» в консоли вашего браузера, что дает ему возможность манипулировать вашей учетной записью.

Как защитить себя от XSS?

«Self XSS» – это метод хакерского взлома вашей учетной записи с использованием вредоносного кода. Никогда не копируйте и не вставляйте в браузер неизвестный код, указанный вам кем-либо. В противном случае ваша учетная запись «Gmail» будет взломана.

8. Троян

«Троян» (троянский конь) – это вредоносная программа, которая используется для шпионажа и управления компьютером, вводя в заблуждение пользователей о ее истинном намерении. Вредоносная программа троян также может называться «удаленным кейлоггером», поскольку она записывает ваши ключевые действия на компьютере в различных приложениях и отправляет их хакеру.

Как работает троян?

Программное обеспечение, которое вы считаете чистым, может быть трояном и может попасть к вам разными способами: PDF-файл, загруженный вами, любой видео файл, полученный из подозрительных источников и т.д. Все они могут содержать троян. Троян работает в фоновом режиме, собирает необходимую информацию и отправляет ее хакеру. Троян может быть отправлен в любой форме на любой носитель: флэш-накопитель, «ipod», веб-сайт или электронная почта. В нашем случае троян запишет пароль «Gmail», который вы набрали в своем браузере, и отправит его хакеру через сеть интернет.

Как защитить себя от трояна?

  • Не устанавливайте программы из неизвестного источника
  • Не воспроизводите медиа файлы, полученные из ненадежного источника
  • Не открывайте файлы, загруженные с сомнительных источников
  • Не используйте чужие флэш-накопители в своем компьютере
  • Обновите антивирусное программное обеспечение, установленное на вашем компьютере

Наличие обновленного антивирусного программного обеспечения не гарантирует вам стопроцентной безопасности от взлома. Любое антивирусное программное обеспечение представляет собой набор обнаруженных вредоносных программ и вирусов. Его задача – сравнить каждый файл с базой данных вирусов и заблокировать или удалить найденные совпадения. Иногда этого бывает недостаточно, так как существуют некоторые программы, которые позволяют создавать скрытые трояны. Но они практически никогда не используются для взлома аккаунта обычного пользователя. Поэтому наличие обновленной антивирусной программы защитит вашу учетную запись от трояна.

9. «Gmail Zero Day»

«Zero Day» – это уязвимость системы безопасности, которая неизвестна соответствующему разработчику программного обеспечения. В нашем случае уязвимость системы безопасности связана с «Gmail» и называется «Gmail Zero Day».

Как работает уязвимость «Gmail Zero Day»?

Уязвимости «Gmail Zero Day» встречаются очень редко. Это в основном лазейки в защите отдельных узлов системы, о которых не знает «Google». Но компания «Google» использует бонусную программу «Google Bug Bounty» для поиска таких ошибок и их устранения.

Есть два типа людей, которые обнаруживают уязвимость нулевого дня. Первый – это специалисты по компьютерной безопасности и энтузиасты-исследователи ошибок со всего мира, которые тестируют продукты «Google» (в нашем случае «Gmail») и сообщают о найденных уязвимостях безопасности в соответствующую службу для их исправления.

Второй – это хакеры (так называемые «Blackhat»), которые обнаруживают уязвимость нулевом дня, но не раскрывают ее, а используют для своей личной выгоды.

Как защититься от «Gmail Zero Day»?

Вам не нужно бояться уязвимости «Gmail Zero Day». Как мы уже говорили ранее, уязвимости нулевого дня очень редки и в основном они нацелены только на влиятельных людей и знаменитостей. Для атаки на учетные записи обычных пользователей они практически не применяются.

Источник: http://hetmanrecovery.com/ru/recovery_news/methods-of-hacking-a-gmail-account-and-ways-to-protect-against-them.htm

Как надежно защитить свой компьютер от взлома через Интернет

Под прицелом может оказаться любой незащищённый или слабозащищенный компьютер. Чтобы избежать этого, многие предпочитают обезопасить свои устройства и информацию на них, используя различные способы. Но для того, чтобы знать какие меры предосторожности необходимо принимать, стоит понять, где находятся самые уязвимые места у ПК.

Как злоумышленник может получить контроль над вашим компьютером

В основном, сетевые ПК, которые используются для хранения и распространения любой информации, изначально хорошо защищаются. Для особенно конфиденциального и финансово важных материалов владельцы системы, устанавливают необходимые защитные системы, предотвращающие утечку данных.

Локальные же ПК, такие как у нас с вами, более подвержены хакерским атакам. Мы каждый день выходим безо всяких опасений в сеть, переходя по привычным ссылкам и пользуясь поисковыми системами. И даже не задумываемся о том, что наш компьютер представляет какой-то интерес и пользу, чем и пользуются злоумышленники. Безусловно, взломать сетевое устройство какой-то крупной компании или банка куда выгоднее, но и не так просто и безопасно, как ПК обычного человека. Для каждого вида мошенничества необходимы определенные навыки. Чем меньше таких умений нужно задействовать, тем более осуществимым становится проникновение.

Каждый выход в Интернет – это предоставление определенного количества персональных данных. Информация, которую мы оставляем сами (в соцсетях, чатах, блогах, обсуждениях, комментариях, при регистрации на сайтах и др.) и техническая, такая как IP и MAC адрес – уникальный код компьютера, указывающий на его местонахождение и историю серфинга по сети.

Благодаря подобным сведениям, злоумышленник может проникнуть в ПК без вашего ведома или с вашей же помощью (спам сообщения, реклама и пр.) Атака происходит, в основном, по причине образовавшихся «дыр» в ПО. Благодаря переходу по небезопасным ссылкам и скачиванию ложных программ, вы подвергаете опасности свое устройство. Злоумышленник способен проникнуть в ваш ПК благодаря этим «дырам». И в итоге, хакер может выполнять различные действия, используя команды, которые ваше устройство получает от него удаленно, через сеть. То есть, если преступник вышел на вас по следам «белого» IP и нашел уязвимые места на компьютере, под угрозу ставятся все файлы, находящиеся на жестком диске (фото, видео, аудио, документы), а также почта, электронные кошельки и вся информация, хранящаяся в облачном хранилище. Степень нанесенного ущерба будет определяться целями, которые преследовал хакер.

Возможные способы защиты

Чтобы работа в режиме онлайн стала безопаснее, создано несколько вариантов борьбы с вредоносными программами, которые могут использоваться комплексно или раздельно:

  • выход в сеть через прокси-сервер;
  • фаерволл;
  • правильно закрытые порты;
  • антивирусы.

Для человека, слабо разбирающегося в компьютерах, правильно сконфигурировать настройки будет достаточно сложно, зато другие методы более просты и понятны. Решите для себя, какой способ более продуктивный и необходимый.

Установка антивируса, как способ борьбы с троянскими программами

Современные антивирусы способны распознавать и устранять множество «троянских» программ, написанных специально для незаметного проникновения в чужие компьютеры. Поэтому, загруженные файлы, программы, документы стоит регулярно проверять. А при переходе по потенциально вредоносным ссылкам, антивирус предупреждает оповещением о возможной опасности.

Но дело в том, что хакерами пишутся все новые программы, которые могут быть идентифицированы распознаванию лишь спустя некоторое время, после из изучения и добавления в вирусные базы. Поэтому стоит периодически обновлять антивирус, который совершенствуется с каждым обновлением. Существуют эвристические алгоритмы, которые позволяют выявить даже неизвестный ранее вредоносный код, но они не дают стопроцентной гарантии.

Грамотно настроенный файерволл — барьер для хакера

Файерволл – это программа, которая закрывает доступ к запрещенным пользователем ресурсам и портам. То есть, при соответствующей настройке файерволла, будет разрешена работа только определенных программ, работающих в сети. Это обеспечит защиту от утилит удаленного администрирования даже в том случае, если вирус смог пробраться в компьютер. Он просто не сможет отправить информацию на другой сервер.

Однако, файерволл может оказаться бесполезным в том случае, если троян проникнет с помощью разрешенной программы, например, через почтовый клиент — в виде вложения в письмо.

Скройте IP адрес своего компьютера

Благодаря прокси-серверам вы можете анонимизировать все свои данные, в том числе и информацию о компьютере. Адреса прокси можно приобрести, скачать бесплатно или установить браузер, который работает через цепочку других серверов — Тор.

Серверы видоизменяют IP компьютера, включая его геопозиционирование, и при попытке взлома, хакер попадает на не ваш сервер, а на прокси, где атака полностью предотвращается штатными средствами.

Источник: http://infuture.ru/article/18021