Почему взламывают сайты и как это влияет на SEO

В интернете меня знают как практикующего SEO-специалиста из России. И когда речь заходит о безопасности сайта, то привычно все начинают думать о совсем других терминах вроде “IT-SEC” или “ИБ”, а у некоторых и вовсе возникают ассоциации с антивирусными компаниями. Но если Вы из той самой категории людей, то расширю Ваш кругозор, ибо безопасность сайта напрямую влияет на результаты SEO.

Предположим, что Ваш сайт заразился вирусом и стал недоступен для пользователей, тогда поисковая система через короткое время уберёт Вас из ТОП’а. Но чаще происходит так: если ваш сайт заразился вирусом, то поисковая система помечает его как потенциально опасный веб-ресурс, который может нанести ущерб пользователю и соответственно понижаетcя в выдаче (или вовсе выкидывает из SERP). То есть, заражение сайта вирусами напрямую влияет на результаты SEO это важно понимать.

Когда пытаешься перейти на зараженный сайт

Почему поисковая система помечает сайт как потенциально опасный или мошеннический?

За последние несколько лет личных наблюдений я заметил, что злоумышленники заражают (чаще всего коммерческие) сайты с целью кражи конфиденциальных персональных данных: сканы паспортов, серийные номера продуктов, платежную и банковскую информацию пользователей.

Но и по-прежнему встречается и такое, что злоумышленник взламывает сайт лишь для того, чтобы использовать мощности сервера для своих корыстных целей. Например:

• cпам-рассылка;
• построение дорвейной сетки;
• бот-нет сети;
• создание сайта прокладки для перегона трафика;

При этом сам сайт для них не представляет ценности. Следовательно – это должно развеять миф: “Если мой сайт не продвигался, не имеет бэклинков и вообще с плохим дизайном и никому неизвестен, то он не представляет интереса для взлома”.

Третий вариант далеко не редко встречающийся – взлом “жирных” высокотрастовых сайтов с целью продажи или размещения собственный ссылок.

Как ломают и взламывают наши сайты

Подавляющему большинству людей думается, что их сайты взламывают хакеры. От части это так, но сам хакер принимает весьма косвенное участие. Почти всегда взлом сайтов происходит в автоматическом или полуавтоматическом режиме с помощью эксплойт-китов. Давайте разберемся с терминологией.

Цена за Exploit Pack может доходить до 25 000$

Эксплойт (Exploit) – это уязвимость на сайте, которую можно эксплуатировать. За счет эксплуатации уязвимости хакер получает доступ к сайту или серверу или всё сразу.

Эксплойт-пак (Exploit Pack) – собранный набор уязвимостей известных хакеру в одну кучу.

Эксплойт-кит (Exploit Kit)  – программный модуль, позволяющий в автоматическом режиме из базы знаний (из имеющегося эксплойт-пака) последовательно перебирать и применять к сайту жертвы эксплойты.

Обычно Exploit Kit продается в связке с Exploit Pack’ом

С помощью такого набора инструментов хакер ищет уязвимые сайты по всему интернету, и как правило количество взломанных сайтов достигает от нескольких сотен до нескольких десятков тысяч штук. Созданием эксплойт-паков в основном занимаются хакерские группировки тс последующей их перепродажей на черном рынке. В своей практике я никогда не встречал чтобы их покупали компании по информационной безопасности для проведения своих лабораторных работ пентеста (аудит на проникновение).

Какие бывают виды атак:

XSS – межсайтовый скриптинг, эксплуатирует незащищенные формы и динамические скрипты на сайте.

SQL-inject – инъекции SQL кода с целью эксплутации базы данных.

PHP-including – внедрение через незащищенный РНР-сценарий собственный код на РНР.

CSRF – отравление кэша домена.

Это перечислены основные типы атак, которые поддерживают эксплойт-паки.

Помимо этого есть и множество других атак: DDoS, фишинг, социальная инженерия. Но эти атаки более сложные и требуют от хакеров реальных телодвижений. Для осуществления таких атак у злоумышленника должна быть реальная мотивация чтобы навредить. Вам следует бояться если Вы  – коммерческий банк, крупный агрегатор или интернет магазин, игровой сервер и т.д.

Как узнать что сайт взломан?

Но если Вы всё же не банк, то как же узнать что ваш сайт взломали? Иногда это заметно сразу:

1. Ваш сайт перестал работать (часто выдает 500 ошибку);
2. Ваш сайт стал крайне медленно работать;
3. Дефэйс сайта (Deface – изменение главной индексной страница Вашего сайта на страницу хакера);
4. Часть функционала сайта перестала работать;
5. Сайт часто падает в 502 ошибку;
6. Вас не пускает в админку.

Иногда бывает так, что видимых симптомов нет, но если вы зайдете на свой сайт через FTP или посмотрите через файловый менеджер (сPanel, Plesk, ISPmanager, DirectAdmin), то можете обнаружить незнакомые файлы, которых раньше не было. Как правило они содержат зашифрованные инструкции, часть кода вообще может быть обфусцировано и так же зашифровано.

Бесполезно заниматься SEO продвижением сайта пока он заражен вредоносными скриптами.

Пример реализованного дефэйса на сайте

Можно попытаться принять жалкую попытку собственноручно или в автоматическом режиме удалить все эти файлы с сомнительным содержимым, но через короткое время они появятся снова. При этом стоит отметить, что “родные” файлы Вашей CMS так же могут быть заражены, в них органично внедрен чужой код и без знаний РНР бывает сложно разобраться что есть что.

Такая ситуация знакома многим, даже опытные вебмастера впадают в замешательство. Хорошо если тарифный план Вашего хостинга предполагает функцию антивирусного сканирования и очистки всего вредоносного ПО, но у многих хостеров такого нету до сих пор и это реальная проблема.

Антивирусная очистка – это хорошо, но важно понять каким образом произошел взлом. То есть нужно выявить уязвимость. Для этого нужно поднять все наши журналы с логами и провести тщательный анализ и выявить в какой момент что-то произошло необычное. На основе этого нужно поставить “заплатку” на сайт, чтобы подобных инцидентов более не повтторялись.

Если вы используете не самописную CMS, то в большинстве случаев подойдет своевременное обновление всех используемых плагинов, удаление неиспользуемых, обновление ядра CMS, оптимизация работы базы данных. Если у Вас самописная CMS, то тут подойдет как никогда фраза: “Обратитесь к Вашему разработчику”.

Сайты на каких CMS чаще всего взламывают

До сих пор в головах людей плотно живет миф, что чаще всего взламывают сайты созданные на бесплатных CMS таких как:

• Joomla;
• WordPress;
• MODx
• OpenCart
• и т.д.

На самом деле это большое заблуждение. Платные CMS так же активно взламывают, какие-то больше, какие-то меньше. Всё зависит от команды поддержки этой CMS, от её оперативности находить и заделывать уязвимости. У бесплатных CMS этим преимущественно занимается сообщество.

Производители CMS (в особенности Bitrix) любят говорить, что их CMS самая защищенная, но на самом деле идеальной защиты не существует и при большом желании ломается абсолютно всё. Да, можно защититься от ботов работающих в связке с эксплойт-паком, но если Вас решили целенаправленно взломать люди (хакеры), скорей всего это произойдёт.

Вывод:

Скорей всего Вы не банк и не крупная корпорация ведущая торговые дела со всем миром, и Вы мало кому интересны. С вероятностью 99% Ваши малоинтересные сайты будут ломать боты и реальному хакеру до Вас нет никакого дела. Защититься от ботов можно путем своевременного обновления ядра CMS и плагинов, если у Вас VPS/VDS то уповаем на Вашего системного администратора, а так все остальные вопросы можно решить с технической поддержкой хостинга.

Если у Вас много конкурентов желающие Вам “смерти”, есть вероятность, что они выложат кругленькую сумму денег хакеру для проведения точечных атак (например DDoS) на ваш сайт. В таком случае следует изначально позаботиться о своей безопасности еще на стадии выбора хостинга. Рано или поздно конкуренты поймут, что их затея попросту не рентабельная.

Автор статьи: Роман Бондарь

Автор статьи: Роман Бондарь

Занимаюсь SEO продвижением сайтов с 2011 года. Совладелец маркетинговой компании IMarketing (Казахстан). Автор множества статей по эффективному линкбилдингу и нестандартного крауд-маркетинга. Практикующий специалист информационной безопасности веб-сайтов.