Вы сильно заблуждаетесь, если считаете, что признаком сломанного сайта является турецкий флаг на главной странице. Давно существует налаженная схема зарабатывания денег на сломанных сайтах.
Сначала загружается "бэкдор" или "троян", что по сути одно и то же, представляет собой небольшой скрипт, позволяющий выполнять команды на зараженном сайте. Он может пролежать без дела не один месяц, но при этом дырка вашего сайта выложена на продажу на каком-нибудь хакерском форуме. Это первый этап заработка. Затем купивший уязвимость вставляет на сайте разного рода ссылки, предназначенные либо для продвижения чего-то в поисковиках (т.е. это черный SEO), либо для отправки ваших посетителей на хакерский (или тоже сломанный) сайт, который так или иначе вымогает деньги через SMS. К сожалению, вовлечённость населения в интернет на фоне компьютерной грамотности позволяет таким пакостным людям делать свой бизнес.
Для нашей компании вопрос безопасности имеет первостепенное значение. Мы изучаем каждую жалобу на взлом, скажу, что за мою практику работы в техподдержке (с 5-й версии), не было подтвержденного взлома через ядро битрикса.
Это не потому что наши программисты пишут идеальный код. Естественно, с опытом код становится надежнее, но программист думает о другом и по-другому. У взломщика деструктивное мышление, в определенной части программы оказываются данные, которые программист не предполагал получить, это приводит к некорректной работе программы.
Все наши дистрибутивы и все обновления тестируются специалистами по безопасности внутри компании перед выпуском. Мы ломаем свой код, уязвимости остаются внутри лаборатории. Но почему бывают взломы снаружи?
Часто в крупных организациях доступ к интернету из внутренней сети ограничен, а доступ в сеть извне закрыт вовсе. Тогда возникает вопрос: как обновлять корпоративный портал чтобы сохранялись корпоративные требования безопасности?
Самое основное, что хотят все пользователи: сохранность персональных данных. Когда говорится, что для установки обновлений нужен доступ к глобальной сети, представляется совсем небезопасная схема.
Система одноразовых паролей позволяет существенно повысить безопасность сайта. Работает это так: каждый раз при авторизации вы дописываете к своему собственному паролю шесть цифр, сгенерированных специальным устройством. А значит, если злодей получит ваш пароль (через вирус, канал передачи, кеш браузера и пр.), он не сможет им воспользоваться для авторизации.
Пароли создаются по определенному алгоритму, зависящему от уникального кода устройства. Этот секретный код хранится в базе данных на сервере. Для каждого сотрудника необходимо покупать отдельный "брелок".
С недавних пор появились приложения для пользователей iPhone и Android. Сам являюсь давним поклонником nokia, а раз в нашей компании давно используются одноразовые пароли, до последнего времени вынужден был постоянно таскать с собой брелок. Увидев как коллега ловко авторизуется используя свой iPhone, решил потратить пару часов на написание java приложения для своего телефона.