Технології
9 хвилин

Безпека сайту: Історія злому і 400,000 грн збитків

Клієнт зателефонував о 6 ранку: "Сайт зламали". База клієнтів в даркнеті, гроші з рахунків зняли, Google заблокував сайт. Збитки понад 400,000 грн. А все через один пароль "admin123".

О 6 ранку в суботу мені дзвонить Віктор (власник інтернет-магазину спортивного харчування). Голос тремтить: "Нас зламали. Все пропало."

Їду до нього. Картина жахлива:

  • На сайті замість товарів - казино
  • База даних з 15,000 клієнтів злита в даркнет
  • З рахунку компанії зняли 120,000 грн
  • Google заблокував сайт (вірус)
  • Постачальники заблокували постав��и (підозра в шахрайстві)
Загальні збитки: понад 400,000 грн + репутація.

Як це сталось

Розбирались цілий день. Виявилось - Віктор використовував пароль "admin123" для входу в адмін-панель.

Серйозно.

Хакери просто перебрали поширені паролі, зайшли, отримали доступ до бази даних, вкинули шкідливий код, і почали виводити гроші.

Весь злом зайняв... 15 хвилин.

Що таке безпека сайту (простими словами)

Уявіть що ваш сайт - це квартира з грошима і цінними даними. Безпека - це замки на дверях, сигналізація, камери.

Більшість власників сайтів думають: "Хто зламає мене? Я ж маленький, мене ніхто не знає."

Сюрприз: хакерам пофіг великий ви чи маленький. Вони використовують автоматичні програми які скан��ють мільйони сайтів в пошуку вразливостей.

Ваш розмір не має значення. Має значення наскільки легко вас зламати.

Основні вектори атак

1. Слабкі паролі (як у Віктора)

70% зломів - через прості паролі типу:

  • admin / admin123
  • password / 123456
  • назва компанії
Рішення: Складні паролі + двофакторна аутентифікація (2FA).

2. SQL injection

Хакер вводить код в форму на сайті (пошук, коментарі, реєстрація) і отримує доступ до бази даних.

Рішення: Валідація всіх вхідних даних, підготовлені SQL запити.

3. XSS атаки

Хакер впроваджує шкідливий JavaScript код який краде дані користувачів.

Рішення: Екранування всього що виводиться на сторінку.

4. DDoS атаки

Сайт засипають тисячами запитів, сервер не витримує і падає.

Рішення: CDN з DDoS захистом (Cloudflare).

5. Застарілі системи

80% зломів - через застарілі версії WordPress, плагінів, PHP і т.д. з відомими вразливостями.

Рішення: Регулярні оновлення. Раз на тиждень мінімум.

Що ми зробили для Віктора

Після злому довелось робити повну санацію:

Тиждень 1: Ліквідація наслідків
  • Видалили весь шкідливий код
  • Відновили сайт з бекапу (на щастя був)
  • Змінили ВСІ паролі
  • Повідомили клієнтів про витік даних (закон вимагає)
  • Розблокували сайт в Google
Тиждень 2: Захист
  • Встановили WAF (Web Application Firewall)
  • Налаштували моніторинг 24/7
  • Двофакторна аутентифікація для всіх адмінів
  • Автоматичні бекапи щодня
  • Оновили всі системи
  • Закрили всі виявлені вразливості
Вартість: 65,000 грн + психологічна травма.

Базовий захист (мінімум для будь-якого сайту)

1. HTTPS (SSL сертифікат)

Безкоштовно від Let's Encrypt. Без цього Google взагалі не показує сайт.

2. Складні паролі + 2FA

Пароль мінімум 12 символів, цифри+літери+спецсимволи. 2FA - обов'язково.

3. Регулярні оновлення

WordPress, плагіни, PHP - все має бути останньої версії.

4. Бекапи

Щодня автоматично. Зберігати мінімум 30 днів.

5. Моніторинг

Система яка алертить якщо щось підозріле.

Вартість базового захисту: 15,000 - 30,000 грн/рік

Просунутий захист

1. WAF (міжмережевий екран)

Фільтрує весь трафік, блокує підозрілі запити.

2. Пентестинг

Етичні хакери намагаються зламати ваш сайт і показують де дірки.

3. AI система виявлення аномалій

Штучний інтелект аналізує трафік і виявляє аномальну поведінку.

4. CDN з DDoS захистом

Cloudflare або аналоги. Захист від перевантаження.

5. Шифрування даних

Навіть якщо зламають базу - дані зашифровані.

Вартість професійного захисту: 60,000 - 150,000 грн/рік

Реальна вартість злому

Віктор підрахував свої збитки:

  • Відновлення сайту: 65,000 грн
  • Втрачена виручка (5 днів простою): 80,000 грн
  • Повернення клієнтам (злякались витоку): 45,000 грн
  • Втрачені постачання: 120,000 грн
  • Робота юриста: 25,000 грн
  • Стрес та нерви: безцінно
Всього: 335,000 грн + репутаційні втрати

А базовий захист коштував би 25,000 грн/рік.

Як перевірити чи ваш сайт в безпеці

Самостійна перевірка:

1. Відкрийте ваш сайт 2. Спробуйте увійти в адмінку 3. Якщо пароль простий - ВИ В ЗОНІ РИЗИКУ

Професійна перевірка:
  • Сканування на вразливості (є безкоштовні інструменти)
  • Аудит безпеки від спеціалістів

Висновок

Безпека сайту - це не параноя, це необхідність.

Віктор після того інциденту став параноїком (в хорошому сенсі):

  • Складні паролі на все
  • 2FA скрізь
  • Моніторинг 24/7
  • Бекапи щодня
  • Аудит безпеки раз на квартал

За рік жодного інциденту. Спить спокійно.

Хочете перевірити безпеку вашого сайту? PrometeyLabs зробить безкоштовний базовий аудит. Покажемо що в зоні ризику і як це виправити.

Ключові слова

безпека сайту захист від хакерів злом сайту ssl сертифікат україна аудит безпеки

Схожі статті

← Повернутися до блогу