Главная / Горячая линия

Рекомендации Федерации независимых профсоюзов России по безопасности сайтов структур ФНПР

Пресс-служба Профсоюза. 17.03.2022
Печать

В дополнение к нашему материалу о мерах по повышению защищённости информационной инфраструктуры Общероссийского Профсоюза образования, дополнительно публикуем рекомендации по безопасности сайтов структур Федерации независимых профсоюзов России, подготовленные специалистами Департамента по связям с общественностью, молодёжной политике и развитию профсоюзного движения аппарата ФНПР. Лишним не будет!

Основные способы защиты сайтов от атак

Атаки на сайты производятся как целенаправленно, так и с помощью бот-сетей автоматизированно. Как правило, каждая атака имеет свою стоимость. И если автоматизированные атаки при всей своей массовости эффективны, от них можно достаточно легко оградиться, соблюдая несколько простых правил. В случае целенаправленной атаки целесообразнее потерять контроль над сайтом и восстановить его заново, чем сражаться за его работоспособность, расходуя серьёзные ресурсы.

Тем не менее, соблюдая простые рекомендации, в большинстве случаев сайты сохраняют свою работоспособность даже в сложных условиях.

Итак, что можно сделать для защиты сайтов:

  • использовать надёжный хостинг;
  • подключить SSL-сертификат;
  • обеспечить защиту от DDoS-атак;
  • использовать безопасные плагины/библиотеки/фреймворки/CMS;
  • применять техники защиты от SQL-инъекций и XSS-атак;
  • обеспечить ведение журнала веб-сайта и мониторинг событий безопасности;
  • производить регулярное резервное копирование веб-сайта и всех важных данных;
  • использовать надёжные и сложные пароли, а также защиту от перебора паролей;
  • необходимо изменить стандартный адрес входа и обеспечить контроль доступа к административной панели сайта.

При создании сайта, его обновлении или в процессе администрирования стоит избегать покупки или размещения сайта на серверах организации, виртуальных серверах и на самостоятельно администрируемых серверах в дата-центрах. Такое решение, безусловно, жизнеспособно, но требует высокого профессионального уровня технических специалистов и серьёзных вложений.

Доменное имя

Доменное имя необходимо приобретать отдельно, используя официальные ресурсы регистраторов доменов, регистрация доменного имени должна производиться на юридическое лицо с указанием официальных контактов организации, в том числе в качестве администратора. Такое решение позволит избежать утери данных, потери управления и кражи домена даже в случае смены администратора.

В панели управления регистратора домена проводятся настройки DNS-серверов, почтовых сервисов и другие базовые настройки доменов. Здесь же можно заказать SSL-сертификат для сайта и услуги по его запуску.

Необходимо избегать решений «всё в одном»! Нельзя совмещать почтовые сервисы, сервисы и ресурсы сайта в одном личном кабинете.

Хостинг-провайдер

При выборе хостинг-провайдера необходимо обратить внимание на то, предоставляет ли провайдер услуги по защите от DDoS-атак или установлен ли кеширующий прокси — Nginx. В случае с Nginx необходимо обратить внимание на возможность настройки и настройки по умолчанию. Все возможные и предлагаемые провайдером средства безопасности должны быть включены, оплачены и настроены. Просмотр журналов безопасности должен проводиться регулярно. При увеличении числа атак или событий безопасности необходимо проводить соответствующую настройку систем безопасности. В случае оповещения провайдером о наличии опасности необходимо незамедлительно принять соответствующие меры.

Пароли к панели управления (как и все пароли, связанные с работой или администрированием сайта) должны быть максимально устойчивы к подбору, должны содержать буквы верхнего и нижнего регистров, цифры, специальные символы и иметь длину не менее 11 знаков!

Пароль администратора с полным доступом к ресурсам должен быть только у ответственного лица, находящегося в штате организации.

Фреймворки, CMS, «движки» сайтов

Для работы сайта, как правило, выбираются популярные системы управления. Важно понимать:

  • следует избегать кустарных и «самописных» систем управления;
  • следует избегать систем управления, работающих по подписке;
  • следует избегать сервисов-конструкторов сайтов;
  • для работы сайта можно выбирать популярные бесплатные CMS при условии соблюдения строгих правил;
  • необходимо постоянно поддерживать версию системы управления сайтом в актуальном состоянии, регулярно обновлять как саму CMS, так и компоненты (плагины, модули, приложения);
  • не поддерживаемые или прекратившие свою работу дополнения к системе управления необходимо заменять на актуальные;
  • при самостоятельном создании модификаций на сайте нельзя применять их, отключая системы безопасности, или применять небезопасные настройки хостинга и системы управления;
  • при подключении баз данных к сайтам необходимо использовать устойчивые пароли как к самими базам данных, так и к системам, с которыми они работают;
  • крайне желательно устанавливать дополнительные плагины и системы, обеспечивающие безопасность системы управления сайтом.

Резервное копирование

Необходимо настроить несколько видов резервного копирования:

Регулярное (желательно еженедельное) резервное копирование средствами хостинг-провайдера всех ресурсов сайта (единый архив сайта). Такое копирование настраивается в административной панели хостинг-провайдера и происходит автоматически, сохраняясь на стороне хостинг-провайдера. Такой архив поможет восстановить работоспособность сайта в течение нескольких часов.

Регулярное копирование на компьютер администратора сайта. Перед каждым изменением, вносимым в работу сайта, администратор должен сохранить на рабочем компьютере резервную копию всех ресурсов сайта (базы данных, файлы, папки, скрипты и файлы конфигурации). Также такое копирование должно происходить ежемесячно. Такое копирование позволит восстановить сайт даже в случае необходимости переместить сайт в более безопасное пространство.

Резервное копирование баз данных. Используя инструменты администрирования баз данных, с периодичностью раз в неделю необходимо копировать базы данных сайта на специально выделенные для этого ресурсы (это могут быть как ресурсы хостинг-провайдера, так и аккаунты на облачных ресурсах). Это позволит восстановить сайт даже при массированной атаке и утрате всех возможностей для восстановления.

Администрирование сайта

При использовании любых систем управления сайтом рекомендуется изменять стандартную страницу входа в панель администрирования. На странице входа администратора необходимо использовать помимо стандартных данных (логин и пароль) системы наподобие captcha или двухфакторную аутентификацию. Следует избегать запоминания пароля менеджерами паролей на компьютерах администраторов и всех работающих с сайтом сотрудников.

Необходимо разделять учётные записи пользователей, редакторов, авторов и администраторов сайта. Если сайт «ведётся» администратором, то для ежедневной работы должна использоваться учётная запись с ограниченным функционалом. Учётных записей администратора должно быть две: основная и резервная. Не допускается загружать на сайт файлы, не прошедших проверку антивирусом или файлы скриптов. Также в панели администратора необходимо прописать типы файлов для загрузки и их максимальный размер.

Пароли к панели управления (как и все пароли, связанные с работой или администрированием сайта) должны быть максимально устойчивы к подбору, должны содержать буквы верхнего и нижнего регистров, цифры, специальные символы и иметь длину не меньше 11 знаков!

Пароль администратора с полным доступом к ресурсам должен быть только у ответственного лица, находящегося в штате организации.

Источник: Федерация независимых профсоюзов России

Другие публикации по теме:

Новость

Газета «Солидарность» — о федеральных проектах Общероссийского Профсоюза образования

20 июля 2022
Публикация

Олег Меркулов — о федеральном проекте «Профсоюз — территория здоровья»

13 июля 2022
Новость

Регионы представляют...

12 июля 2022
Решение

О проведении 27 сентября 2022 года профсоюзного диктанта

12 июня 2022
Новость

Делегация российских профсоюзов посетила Луганск

1 августа 2022
Новость

Культура безопасности труда – ключевой элемент корпоративной культуры

26 июля 2022
Новость

По итогам первого полугодия 2022 года, количество социально-трудовых конфликтов в стране снизилось

20 июля 2022
Новость

Члены РТК обсудили мероприятия по снижению напряжённости на рынке труда

25 июля 2022
Новость

Тренинг-лагерь нон-стоп

18 июля 2022
Новость

Госдума России рассмотрит предложения профсоюзов об увеличении зарплаты молодёжи на Севере

17 июля 2022
Новость

Главная цель: обеспечить безопасные и комфортные условия труда

13 июля 2022
Новость

ФНПР продолжит оказывать солидарную поддержку трудящимся ДНР и ЛНР

7 июля 2022

Наш сайт использует cookie-записи. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием cookie.

Хорошо