Пятница, 24.11.2017, 08:43
Приветствую Вас, Гость
Главная » 2017 » Октябрь » 16 » Защита сайтов. Коротко о чем вам нужно знать
Гипермаркет Аренды Недвижимости OPENh.RU
16:31
Защита сайтов. Коротко о чем вам нужно знать

Что такое взлом сайта?
Сайт считается взломанным, если посторонний человек (не важно каким путем) получил доступ к файлам вашего сайта, которые хранятся на сервере.

Зачем взламывают сайты?
Как правило сайты взламывают для того, чтобы заражать вирусом компьютеры пользователей, которые на них заходят. Еще одна очень важная цель - рассылка спама с помощью вашего сервера, а также размещение скрытых ссылок на различные сайты злоумышленников. В остальных случаях - это целенаправленный взлом, чтобы украсть информацию, либо требование денег, чтобы хакеры перестали взламывать сайт. Ну и конечно же конкуренты могут портить бизнес друг-другу.

Способы взлома сайтов и защита от них
Кража паролей от FTP и хостинга

Если на компьютере вебмастера есть вирус (или вебмастер дал свои пароли от FTP\хостинг-аккаунта человеку, у которого на компьютере вирус), то 90%, что эти пароли попадут авторам вируса и со временем сайт будет взломан.

Как избежать?
Следите, чтобы на вашем компьютере не было вирусов, а также старайтесь никому не давать пароли от хостинг-аккаунта и доступа по FTP. А если даете, то убедитесь, что у этого человека нет вирусов на компьютере. Поменяйте пароли на более длинные (сложные) и старайтесь не хранить их на компьютере, и тем более в браузере. Также рекомендуем использовать безопасное SSH-соединение для загрузки файлов сайта на сервер.

Хостинг-провайдер
Очень часто взломы происходят по вине хостинг-провайдера, т.к. на сервере может быть установлено устаревшее программное обеспечение, которое легко взламывается. Причем вебмастер на это не может никак повлиять.

Что делать?
Здесь все просто - размещайте сайты на надежном хостинге, который имеет хорошую репутацию и много клиентов. В нашем футере, можно найти рейтинги проверенных хостинг-провайдеров, с учетом потребностей вашего сайта.

Взлом CMS (системы управления сайтом)
Не важно какая у вас CMS (платная, бесплатная или самописная). Если она популярная, то тысячи хакеров со всего мира ищут в ней уязвимости, чтобы иметь универсальный способ взломать одним махом десятки тысяч сайтов. Но если хакеры постоянно ищут "дыры" в коде систем управления сайтом, то разработчики этих CMS постоянно выпускают обновления (патчи), которые закрывают "дыры" и улучшают безопасность.

Что делать?
Следите за тем, чтобы на вашем сайте была актуальная версия CMS, причем скачанная с официального сайта разработчика, а не не откуда-попало. Если CMS разработанная специально под ваш сайт (самописная), то актуальным будет заказать аудит безопасности сайта. Где его заказывать? Это сложный вопрос, т.к. компаний, которые качественном этим занимаются - единицы, и они берут за это немалые деньги. При выборе такой компании обращайте внимание на портфолио, а также спросите у их клиентов, на сколько качественно они работают. Мы же подготовили рекомендации по безопасности для отдельно взятых CMS (Joomla и Worpress).

Взлом сайта через модули и компоненты
Если взять любую из вышеуказанных CMS в голом виде (без сторонних модулей и компонентов), то взломать ее будет трудно даже хакерам высокого уровня. Основную опасность несут расширения (модули, компоненты, плагины), которые создаются сторонними разработчиками. Так например, устанавливая компонент комментариев, который создан на тяп-ляп, вы позволите хакеру вместо комментария или прикрепленной картинки залить на ваш сайт PHP-скрипт, который и позволит совершить взлом.

Что делать?
Не используйте дополнительные расширения от подозрительных разработчиков. Также предельно внимательно относитесь к бесплатным плагинами и компонентам.

Установка прав доступа на файлы
Если установить права 777 на какой-либо файл вашего сайта, то это будет означать, что любой человек, сможет прочитать, записать и выполнить этот файл. И конечно же это ведет к тому, что однажды хакер забросит на ваш сайт PHP-код, который его взломает и даст контроль над сайтом.

Как исправить?
Старайтесь, чтобы на все папки Вашего сайта были выставлены права 755, а на файлы 644. Но в первую очередь посоветуйтесь с разработчиком CMS, хостером или опытным программистом, т.к. изменение прав на файлы, может привести к тому, что сайт будет работать некорректно. Детальнее о правах доступа и их изменении читайте в нашей статье.

SQL-Инъекция
В большинстве современных сайтов используются базы данных (SQL), которые нужны для динамического формирования страниц сайта, исходя из действий пользователя. Весь этот процесс происходит с помощью SQL-запросов. В итоге опытный хакер может с помощью входных данных ввести нужный ему SQL-код, который выполнится на сервере и приведет к взлому сайта.

Как защититься?
В первую очередь использовать хорошо защищенную CMS. Если же вы разбираетесь в программировании, то от SQL-инъекций можно спастись с помощью фильтрации SQL-запросов. Например, в PHP есть функция mysql_real_escape_string, которая удаляет потенциально опасный код из запросов.

XSS (межсайтовый скриптинг)
Суть этой атаки сводится к тому, что хакер подкладывает вредоносный код вместо логина, пароля и прочих данных, которые могут вводить пользователи.

Как избежать?
К сожалению таким атакам часто подвергаются даже очень известные сайты (VK, Facebook и т.д.) и противостоять им достаточно трудно. Наш совет - используйте хорошую CMS или наймите опытного программиста. Если на программиста нет денег, то постарайтесь убрать со своего сайта возможность зарегистрироваться и иметь собственный аккаунт для любых пользователей.

Советы по безопасности сайта
Проверяйте сайт на наличие вирусов. О том, как это сделать читайте здесь.
Делайте бекап сайта как можно чаще (для большинства сайтов - раз в сутки).
Лог-файлы содержат все запросы отправляемые к серверу, и как правило, могут помочь выявить лазейку, через которую сайт был взломан. Если вы в них конечно разбираетесь... Но даже, если не разбираетесь, то сохраняйте их как можно чаще, т.к. хостинг-провайдер хранит логи определенное время (около 2 недель). Если же ваш сайт заразили в более ранний срок, то использовать лог-файлы для обнаружения "дыры" уже не получится.
Если на вашем сайте есть функции оплаты (нужно вводить номера банковских карт и т.д.), то либо используйте безопасный протокол https, либо пользуйтесь внешними сервисами оплаты.
Если у вас остались вопросы, или вы знаете, чем можно дополнить данную статью - пишите это в комментариях. На вопросы постараемся ответить, а статью - дополним.

: Железо и драйвера | : 55 | : dashkin058
Рейтинг:

Похожие материалы:

---
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]