2016 год назвали массовым годом кибератак на сайты. В уходящем году было, кажется, все: фишинг, бреши в WordPress, кражи трафика, взломы лендингов.
Российский сегмент интернета в середине года установил рекорд, получив оценку как самый небезопасный в мире по результатам отчета Лаборатории Касперского.
С начала 2016 года количество зараженных сайтов выросло на 20% — такие данные приводит компания Нетоскоп в исследовании, проведенном совместно с российскими интернет-компаниями: Лаборатория Касперского, Group-IB, Ростелеком, Технический Центр Интернет, Mail.ru и Яндекc.
В 2017 году киберпреступления обещают стать еще изощреннее. Расскажем об основных трендах на рынке интернет-безопасности: что угрожает владельцам коммерческих сайтов в следующем году и как от этого защититься.
Кражи мобильного трафика
Трафик уверенно «перетекает» в мобильный сектор. Аналитики Morgan Stanley сообщают, что во всем мире «к 2017 году 87% всех устройств с выходом в интернет будут составлять планшеты и смартфоны».
Среди злоумышленников становится популярным мобильный редирект. Это код, который устанавливается на сайт без ведома владельца, остается для него невидим и перенаправляет посетителей на сторонние ресурсы. В некоторых случаях клиент перенаправляется на зараженную страницу, в других - на сайт конкурента. Такой код ориентирован только на мобильные устройства, а для остальных пользователей и для администратора веб-ресурса остается незаметным. Умный код показывается только в конкретных мобильных сетях, на отдельных типах устройств и для определенных пользователей, из-за чего его сложно обнаружить, если только вебмастеру не держать под рукой целый арсенал смартфонов и поочередно заходить с них на сайт.
Уязвимости в популярных CMS
Как правило, хакеры охотятся не за вашим сайтом (исключение составляют сайты действительно крупных организаций или платежных систем). Цель массовых взломов - заразить как можно больше пользователей, поэтому выбираются популярные CMS и плагины к ним.
Разработчики CMS контролируют ситуацию и регулярно выпускают обновления с исправленными багами и закрытыми «дырами» в безопасности. Но во время релиза публикуют список всех найденных ошибок, что делает владельцев устаревшей версии легкой мишенью даже для неопытных хакеров.
По данным W3Techs, за последние пять лет доля сайтов, созданный на WordPress, увеличилась более чем в два раза. Эта CMS продолжает набирать популярность, как и другие CMS на open source решениях (Joomla, ModX), поэтому 2017 год обещает запомниться еще большим числом атак на веб-ресурсы с необновленными до актуальной версии бесплатными CMS.
Уязвимости плагинов
В 2016 году компания RIPS Technologies провела исследование 47 959 плагинов для Wordpress. Было выявлено 67 486 проблем с безопасностью, более 8 800 плагинов оказались уязвимы. Самые серьезные уязвимости нашли в больших файлах на несколько тысяч строк. У средних и маленьких плагинов (а их большинство) обычно нет проблем с безопасностью.
В 2017 году владельцам интернет-магазинов и коммерческих сайтов на популярных CMS придется обращать внимание на безопасность плагинов: устанавливать только официальные модули с высоким рейтингом.
Использование сервисов для защиты сайтов
Между успешной атакой и ее обнаружением все еще проходит значительное время. Многие проблемы владельцы сайтов замечают, когда они уже проявились – в потере трафика, оттоке пользователей, падении позиций в поисковиках или даже блокировке сайта.
Так происходит потому, что проверке безопасности визуально "здорового" ресурса не уделяют внимания. 2017 год принесет тренд на постоянное использование онлайн-сервисов мониторинга безопасности сайта. Такие системы обеспечивают комплексную защиту ресурса от интернет-угроз с гарантией. Если выявляют уязвимость, они сообщают о ней владельцу сайта и оперативно "лечат" веб-ресурс.
Несколько прошлых лет доказали, что профилактика взломов обходится дешевле, чем восстановление ресурсов. В 2017 году пора брать "здоровый" курс на предупреждение кибератак, а не на устранение их последствий.
Материал подготовлен экспертами по веб-безопасности SiteSecure
Только для пользователей PR-CY!
Ответь на 5 простых вопросов и получи бесплатно 3 месяца мониторинга безопасности и защиты сайта.