Чтобы автоматизировать поддержку веб-сайта или веб-студии, используются различные платные и бесплатные сервисы и продукты. Они не являются комплексными, поэтому веб-мастер применяет несколько сервисов и продуктов одновременно.
Среди веб-мастеров был проведен опрос, который позволил выявить наиболее востребованные функции для поддержания веб-сайтов. Ими стали:
- резервное копирование;
- контроль за изменениями;
- мониторинг безопасности;
- постоянная доступность ресурса.
Резервное копирование является наиболее востребованным функционалом и осуществляется за счет бесплатных либо уже встроенных в программное обеспечение функций. Постоянная доступность сайта находится на втором месте среди популярных средств мониторинга, так как является ключевым элементом бесперебойного ведения бизнеса в Интернете.
Проведем анализ функционала, который сейчас использует большинство веб-мастеров.
Панели безопасности CMS
Производители CMS-систем понимают, как важна безопасность их продуктов. От неё зависит и безопасность сайтов, созданных на основе CMS. Поэтому в системе управления, имеющей коммерческую направленность и открытый код, предусмотрена опция, которая позволяет осуществлять мониторинг за безопасностью сайта и его функционированием.
В коммерческих CMS большая часть функционала включена в сам продукт. Также существуют опции, доступные для использования при подключении соответствующих модулей.
Если сравнить свободно распространяющиеся и корпоративные CMS, то последние имеют лучшую защищенность. Большинство российских систем управления контентом проходят проверку специалистов по информационной безопасности для выявления уязвимостей (например, дыр в коде). Также при необходимости специалисты занимаются очисткой сайта от вирусов.
CMS обладают следующими функциями:
- разграничение прав доступа к файлам;
- контроль за изменением файлов;
- защита от некоторых интернет-угроз;
- защита от вирусов;
- резервное копирование;
- уведомление об инцидентах безопасности (атаки, подбор пароля и т.д.).
Панели управления хостингом
Панели управления хостингом позволяют отследить производительность сайта. Они дают информацию о «физической» работоспособности ресурса: потребляемой оперативной памяти, процессорное время, частота процессора, объемы траффика. Представляемые показатели помогают определить атаки на сайт.
Полнофункциональные решения
На сегодняшний день на отечественном рынке отсутствуют полнофункциональные решения, которые дали бы возможность вести мониторинг сразу всех поддерживаемых сайтов и использовать функции всех перечисленных ранее продуктов. На западе подобные системы начали появляться лишь недавно. Это решения sitelock и trust-guard, с помощью которых можно вести постоянный мониторинг функционирования и безопасности веб-ресурсов без установки дополнительного программного обеспечения. Также продукты оснащены проактивным функционалом, аналогичным коммерческим CMS, и дополнительными функциями.
С недавних пор воспользоваться преимуществами иностранных продуктов можно и с помощью российского сервиса Sitesecure, который сейчас работает в бета-версии. Сервис также обладает дополнительными преимуществами, позволяя мгновенно восстановить сайты при падении хостинга или прочих ошибках.
Рейтинг систем мониторинга
На данный момент мониторинг веб-сайтов производится преимущественно вручную. Автоматизированы лишь некоторые процессы. Вместо того, чтобы заниматься развитием сервиса, веб-мастер расходует время на текущую поддержку. Используемые средства имеют разную структуру, но все же среди сервисов и продуктов можно выделить лидеров. Это функционал, который предоставляется мастеру в комплекте:
- CMS-системы, так как на их основе создается сайт, а в комплекте уже присутствуют средства для мониторинга безопасности сайта и его функционирования.
- Яндекс.Метрика + Яндекс.Вебмастер.
- Панели управления хостингом + инструменты веб-мастера.
Большинство веб-мастеров комбинируют эти средства мониторинга. Полнофункциональные продукты долгое время не имели полной поддержки всего функционала в России, поэтому до сих пор используются небольшим количеством специалистов.
Угрозы для ресурсов
Для юридических лиц и всего Рунета на сегодняшний день представляет серьезную угрозу рост киберпреступлений. Сайты компаний подвергаются заражению вирусным ПО, взломам. По последним данным, каждый десятый российский сайт заражен вирусами, а около 80% ресурсов имеют критические уязвимости. Устранение этих проблем требует больших финансовых и временных затрат.
Часто сайты становятся недоступными для целевой аудитории из-за хостинг-провайдера или ошибки веб-мастера. Также сайт может не отображаться у части посетителей или находиться в черном списке поисковых систем.
Наиболее эффективными в противодействии интернет-угрозам являются коммерческие CMS, так как их производители заинтересованы в обеспечении безопасности своего продукта и вкладывают в него деньги. Если ресурс становится недоступным по причине одной из популярных уязвимостей, то у веб-мастеров останется резервная копия сайта и будет возможность восстановить его доступность.
У каждого типа CMS есть свои характерные уязвимости. Для коммерческих систем это уязвимости типа Information Leakage Brut Force. У opensource-систем это Cross-Site Request Forgery. У CMS собственной разработки — уязвимости Cross-Site Scripting и Cross-Site Request Forgery.
Для защиты сайтов от подмены паролей используется усиленная аутентификация с применением одноразовых паролей и ЭЦП с использованием российской криптографии. Некоторые коммерческие системы внедрили функционал, защищающий от «брутфорса».
Уменьшить количество запросов, направленных на реализацию популярных угроз, помогает межсетевое экранирование, с помощью которого проходит фильтрация траффика. Покупка веб-фаерволла позволяет решить связанные с реализацией интернет-угроз проблемы, однако потребует финансовых затрат.
Устранить уязвимости можно не только программным и аппаратным способом. Можно прибегнуть к помощи специалистов по информационной безопасности. Они проведут анализ сайта и ликвидируют все обнаруженные «дыры». Это трудоемкий процесс, так как код сайта постоянно меняется, веб-мастера подключают новые, не всегда безопасные модули. Весь новый код должен проходить проверку на уязвимости. Поэтому услуги специалистов информационной безопасности могут позволить себе лишь крупные компании.
Полнофункциональные системы предотвращают угрозы, пропуская через свои веб-фильтры весь траффик на сайт, анализируя ресурс на наличие «дыр» в коде и присутствие вирусов в файлах.