Есть несколько основных типов:

• Появление вредоносного баннера - в последние полтора года тренды задают политические мотивы, но и старая добрая реклама площадок с запрещенными веществами тоже никуда не исчезла.
• Драматическое изменение контента - начиная от заглушки с требованием денег и заканчивая более изощренными махинациями, когда одна из страниц сайта начинает использоваться для мошеннических схем под прикрытием общего "доверия" к домену.
• Нарушение целостности кода - последствия вандализма после взлома сайта или результат неудачной интеграции чего-то более злонамеренного.
• Ошибки 500, 502, 503, 504 - выход сайта из строя в результате атаки на серверную часть.
• Заражение сайта - аналог привычных вирусов, интегрированных в код веб-ресурса. Помимо прочего, сайт быстро отправляется в черный список поисковых машин, и каждый посетитель получает соответствующее уведомление.
• Полное удаление контента - крайний и весьма неприятный случай, если долгое время никто не заботился о бэкапах.

Мины замедленного действия

Атака на сайт или, в общем случае, веб-ресурс в массовом сознании воспринимается как некий единичный акт с явным конечным результатом. Это не всегда так. В некоторых случаях злоумышленник может получить необходимые доступы и намеренно скрывать свой успех, не предпринимая явных действий. Зачем? Например, так можно мониторить или даже корректировать работу организации, связанной с данным веб-ресурсом. Можно эксплуатировать доступ к постоянно обновляющейся клиентской базе (особенно если речь идет о сотнях тысяч записей). А можно не спеша, с толком и расстановкой организовывать саботаж, который произойдет в точно заданное время.

Еще один неприятный момент в том, что многие CMS, вполне популярные и массовые, сами по себе имеют уязвимости.

Все это, на самом деле, тоже весьма обширный пласт проблем, и мы затронули только вершину айсберга. Бороться с ними можно, но для этого либо необходимы отдельные специалисты, постоянно мониторящие работу сайта, либо, как программа минимум - регулярный профильный аудит.

Как бороться?

Прежде всего, действовать нужно превентивно. Как гром грянет - поздно будет. При этом правило 20/80 прекрасно работает и здесь, поэтому для относительно небольшого коммерческого проекта соблюдение ряда простых правил позволит избежать значительной части угроз:

• Логин к админке - не cтоковый.
• Пароль - минимум 10 символов, не использовался ранее и, если это возможно, содержит спецсимволы.
• Резервное копирование сайта и его БД хотя бы раз в месяц.
• Сторонние модули (плагины, библиотеки, CMS и т.п.) - проверенные и всегда последней версии.
• SSL-сертификат
• Подключение к админке - только со 100% безопасных устройств.

Банально, но важно не просто все это знать, а соблюдать на практике. Сейчас, когда к чисто коммерческим мотивам прибавились и политические, причем зачастую крайне неочевидные - тем более.

Профессиональная защита сайтов

Особняком стоит безопасность крупных или просто более важных в социальном/финансовом плане ресурсов. Здесь уже важна направленная работа специалистов, и абсолютно универсального алгоритма, к сожалению, нет. Мы в TutMee в общем случае выполняем следующее:

• Устраняем баги CMS и других установленных пакетов. Зачастую они известны специалистам годами, но так и остаются висеть "на горизонте",
• Проводим комплексный стресс-тест для поиска неочевидных уязвимостей и устраняем найденное.
• Налаживаем систему "моментального реагирования", когда в случае любых происшествий на сайте ответные меры начинают приниматься уже буквально через минуту.
• Обеспечиваем серверную безопасность и при необходимости организовываем миграцию в подходящий дата-центр.

В остальном же поиск подводных камней – процесс творческий и очень индивидуальный, и если интересна конкретика именно по вашему сайту - напишите нам, проверим проект на устойчивость и дадим конкретный перечень уязвимостей. А еще будет крайне интересно узнать ваш опыт в сфере безопасности сайтов, делитесь в комментариях!