Советы Платона Щукина: как сделать сайт безопасным

Платон Щукин. Как сделать сайт безопасным

Каждый пользователь знаком с ситуацией, когда Яндекс показывает предупреждение о небезопасных сайтах. Подобная информация выдаётся системой поиска опасных сайтов, чтобы обеспечить безопасность посетителей интернет-ресурсов.

Платон Щукин. Рекомендации по безопасности сайтов

 

 

Между тем веб-мастера и владельцы небезопасных сайтов озадачены другим вопросом: «Как быстро устранить обнаруженные проблемы с безопасностью сайта?». Очередные рекомендации Платона Щукина помогут всем, кто решает проблемы с вредоносным кодом, настраивает SSL-сертификаты и улучшает поисковое ранжирование собственного интернет-ресурса.

 

 

Какой сайт считается небезопасным?

 

Алгоритмы Яндекса по ряду признаков способны выявить проблемы в сфере интернет-безопасности сайта. Например, веб-ресурс относится к группе небезопасных сайтов, если:

 

  • На сайте найден вредоносный код.
  • Обнаружена вредоносная активность (настроен редирект на подозрительный веб-ресурс, загружается URL-адрес опасного сайта и др.).

 

Здравомыслящие пользователи видят подобные предупреждения и не рискуют посещать небезопасные веб-ресурсы. Поисковые алгоритмы могут пессимизировать, либо полностью исключить подобный сайт из выдачи. В результате теряются позиции в органической выдаче Яндекса и снижается поисковый трафик. Подобное развитие событий не входит в планы ни одного владельца сайта. Если на вашем веб-ресурсе завелся вредоносный код – посетите специальный раздел помощи Яндекс.Вебмастера, где приведены подробные рекомендации. Они помогут обнаружить и устранить опасный код.

 

В этой статье Платон Щукин (Яндекс) рассматривает типичные проблемы в сфере безопасности сайтов и даёт ответ на распространённые вопросы веб-мастеров.

 

 

Вредоносный код: как обнаружить и обезвредить

 

 

 

 

Отдельные веб-серверы имеют специфическую конфигурацию и на запрос страницы, которая не существует на сайте, возвращают стандартный ответ «Ошибка 404» или предоставляют страницу-заглушку с оригинальным дизайном, формируемым шаблоном CMS. Злоумышленники могут добавить вредоносный код в шаблон системы управления сайтом.

 

Что нужно сделать. Проверьте шаблоны на сервере на предмет наличия вредоносного кода.

 

 

 

 

Предусмотрительные злоумышленники действуют изощренно и тщательно скрывают следы своей деятельности. После взлома сайта и добавления вредоносного кода они сохраняют в неизменности последнюю дату редактирования сайта.

 

Что нужно сделать. Сначала проверьте недавно изменённые файлы, затем проверьте все остальные файлы.

 

 

 

 

Иногда вредоносный код динамически встраивается в HTTP-ответ сервера и поэтому он виден в исключительных случаях:

 

  • Переход пользователя из выдачи – вредоносный код на сервере с помощью реферера проверяет ссылку, по которой пользователь зашёл на сайт.
  • Первичное посещение сайта – определяется по IP-адресу или файлам cookie.
  • Мобильное устройство или десктопный компьютер – тип устройства определяется в запросе через заголовок User-Agent.
  • Региональная привязка – определяется по IP-адресу заданного региона.
  • Без администратора сайта – посетители проверяются по IP-адресам на предмет сверки с IP-адресами сервера.

 

Что нужно сделать. Когда нельзя увидеть вредоносный код при обычном просмотре сайта, включите в веб-браузере приватный просмотр и зайдите на веб-ресурс через внешний прокси-сервер. Многократно проверяйте код интернет-сайта различными способами: в разное время суток и с помощью различных устройств.

 

 

 

 

Система поиска небезопасных сайтов не осуществляет проверку файлов на сторонних серверах, так как к ним нет доступа. Проверяются только общедоступные данные, например, код страниц и ответ сервера. Для создания примеров вредоносного кода берётся реальный исходный код страниц, формируемый и возвращаемый сервером.

 

 

 

 

Поисковые системы или онлайн-сервисы не способны одномоментно проверять абсолютно все веб-страницы на все виды угроз. Яндекс регулярно обновляет систему проверки, чтобы быстро обнаруживать новые виды интернет-угроз. Если в других источниках нет предупреждения о небезопасном сайте – это не значит, что интернет-сайт в полном порядке. Вполне возможно, что сторонние сервисы и поисковые системы ещё не завершили проверку всех веб-страниц или вовсе не способны детектировать новые угрозы.

 

 

Сторонние онлайн-сервисы и программные продукты: найден вредоносный код

 

В некоторых случаях озадаченные вебмастера обнаруживают вредоносный код с помощью сторонних онлайн-сервисов или антивирусного программного обеспечения. Чтобы получить дополнительное подтверждение веб-мастера обращаются с просьбой к технической поддержке Яндекс.Вебмастера: «Помогите найти вредоносный код на сайте!». В этих случаях непросто определить причину подобной реакции сторонних сервисов и антивирусах.

 

Что нужно сделать. Если сторонние системы обнаружили вредоносный код – незамедлительно обратитесь в службу технической поддержки разработчика этого продукта.

 

 

Проверка SSL-сертификата: браузер нашел ошибки

 

Яндекс не выполняет проверку SSL-сертификатов на валидность и не тестирует корректность работы сайта по безопасному протоколу шифрования HTTPS. Обнаруженные проблемы с безопасностью интернет-сайта ни коим образом не связаны с потенциальными ошибками при настройке сертификатов. Яндекс не даёт рекомендаций по правильной настройке SSL-сертификатов и протокола HTTPS.

 

Но Платон Щукин настоятельно рекомендует использовать безопасный протокол HTTPS. Он поможет защитить информацию от действий злоумышленников, которые стремятся перехватить и подменить конфиденциальные данные. Если появились ошибки при проверке SSL-сертификата – это может означать, что осуществляются попытки доступа и модификации передаваемых данных.

 

Что нужно сделать. По вопросам настройки безопасного протокола HTTPS и проверки SSL-сертификата обратитесь к вашему хостинг-провайдеру.

 

 

Меры приняты, но поисковая система по-прежнему считает сайт опасным

 

 

 

 

Проблемы бывают разные, а эта – самая распространённая. Удаление небезопасных страницы по рекомендациям сервиса Яндекс.Вебмастера не является гарантией полного решения проблем с интернет-безопасностью сайта. Злоумышленники прячут вредоносный код на прочих веб-страницах, а в конфигурации CMS или сервера могут скрываться ошибки. Пример опасной страницы может появиться после очередной проверки, которая осуществляется с периодичностью в несколько дней. Также, пример страницы с проблемой можно продемонстрироваться не при всех методах проверки.

 

 

 

 

При успешной перепроверке проблемных страниц сервер отдаёт ответ в виде кодов 2xx, 3xx или 4xx. Если при проверке веб-ресурса обнаруживаются ошибки с кодами 5xx – делается вывод о проблемах с сервером и страницы перепроверяются через некоторое время. Без повторной проверки система будет по-прежнему предупреждать о наличии небезопасного сайта, так как сервер может снова выдать страницы с опасным контентом.

 

 

 

 

При обнаружении вредоносного кода Платон Щукин советует – не ограничивайте доступ поискового робота к страницам. Это нужно для корректной перепроверки небезопасных страниц и чтобы впоследствии не получать сообщение: «Перепроверка Вашего сайта не удалась».

 

 

 

 

Независимо от того, как настроен файла robots.txt, Яндекс выполняет стандартную проверку сайтов на безопасность для пользователей. Это затрудняет планы злоумышленников, которые могут внести запись в директивы этого файла и сделать невозможным обнаружение вредоносного кода. Таким образом, система проверяет интернет-ресурс с учётом критериев безопасности реальных пользователей. Чтобы чрезмерно не нагружать проверяемые ресурсы, система выполняет выборочную проверку интернет-страниц.

 

 

 

 

Это вызывает удивление, но отдельные вебмастеров озабочены наличием предупреждения о сайте, который не доступен для пользователей.

 

  • Если ресурс действительно несёт полезную информацию, то надо просто решить проблемы с безопасностью. После успешной проверки сайта предупреждение исчезнет.
  • Если ресурс долго не работает, тогда он перестанет существовать для поисковой системы и предупреждение автоматически удаляется.
  • Длительная перепроверка нужна для того, чтобы исключить ситуацию, когда проблемный сайт снова будет доступен для посещения.

 

 

Поисковое ранжирование и предупреждение об опасности

 

Алгоритмы поискового ранжирования учитывают информацию о небезопасных сайтах. Обнаруженные веб-ресурсы подвергаются алгоритмической пессимизации. Если проверка страниц показала, что проблема устранена, ограничения в ранжировании снимаются в автоматическом режиме и удаляется предупреждение в поиске.

 

Яндекс не гарантирует сохранение прежних позиций страниц. Положение в органической выдаче зависит от множества критериев поискового ранжирования, которым также могут измениться, пока сайт считался небезопасным. Однако наличие вредоносного кода в течение небольшого времени не оказывает влияние на будущие результаты ранжирования.

 

До тех пор, пока вредоносный код имеется на интернет-страницах, веб-ресурс теряет привлекательность для пользователей, снижается трафик и доходы владельцев. Если проблема решается достаточно долго, то даже при удалении предупреждения, позиции сайта могут понизиться по другим причинам.

 

WM+

 

Новости поисковых систем

 

 

 

© WaterMillSky 2012-2016