Аудит от независимых экспертов

поможет выявить проблемы на вашем сайте


 

 
 
 

Базовые меры по предотвращению взлома сайта

Базовые меры по предотвращению взлома сайта
При разработке сайта часто возникает вопрос о его защищенности от взлома хакерами. Задаваясь таким вопросом, владельцы сайтов почему-то полагаются лишь на пароль к административной части своего ресурса, оставаясь в неведении об иных уязвимостях. Некоторые из этих уязвимостей позволяют получить доступ, даже не имея  пароля администратора.

Ниже я перечислил меры, которые необходимо предпринять для любого более-менее серьезного веб-ресурса. На самом деле мер значительно больше, но эти самые универсальные и закрывают уязвимости, которые злоумышленники прощупывают в первую очередь.

1. Не используйте виртуальный хостинг
На обычном хостинге по соседству с нашим сайтом (в единой системе на общем жестком диске) живет еще 700-2500 других сайтов и, соответственно, взломав любой из них, злоумышленник получает доступ ко всем ресурсам сервера, в том числе и к вашему сайту. Даже VDS считаются более надежными, чем виртуальный хостинг, т.к. имеет больше препятствий для злоумышленника (принцип системы в системе).

2. Всегда вовремя обновляйте движок сайта и незамедлительно устанавливайте все выпускаемые патчи
Если в движке обнаружилась какая-то уязвимость, то весть о ней мгновенно распространяется по всем форумам и если ее вовремя не закрыть патчем, то любой сможет воспользоваться этой уязвимостью против вас.

3. Обновляйте ПО сервера: Апач, SSH, операционную систему в конце концов и т.д. 
В старых программах существует множество известных дыр, злоумышленнику остается лишь загрузить на ваш сервер эксплоит, который обеспечит ему доступ к ресурсам системы. Рекомендуем вам купить программное обеспечение в место бесплатных версий в интернете.

4. Скрывайте версию вашей CMS
Версия движка часто прописана в комментариях к ее файлам и в различных мета-данных. Причина та же, что и во втором пункте — не зная версию движка, злоумышленник уже не сможет воспользоваться гуглом для поиска известных уязвимостей в вашей версии CMS.

Если есть возможность, поменяйте стандартный адрес входа в администраторский раздел сайта, это усложнит задачу злоумышленнику и собьет с толку его хакерские программы, что поможет выиграть время.

5. Проверяйте систему безопасности хостинг-провайдера
Запросите у него дополнительную информацию на эту тему. Самой банальной уязвимостью может быть хранение паролей от вашей учетной записи в незашифрованном виде. Согласно базовым принципам информационной безопасности, даже главный системный администратор или специалист тех. поддержки не должен знать ваш пароль, т.к., чтобы зайти в вашу учетную запись, у каждого из них есть собственный мастер-пароль. 

Запросите документ, в котором описано, какие обязательства по обеспечению безопасности берет на себя ваш хостинг-провайдер. Обычно про это сказано в публичной оферте, но не у всех.

6. Проверяйте DNS-сервера на уязвимости
Например, злоумышленник может провести спуфинг-атаку при помощи перебора портов сервера и найдя тот, который используется для отправки данных, может подменить DNS-ответ от сервера. Это грозит пропусканием всех ваших данных (и данных ваших посетителей) через компьютер злоумышленника, перенаправлением ваших посетителей на фишинговый сайт и другими последствиями. 

7. Не используйте один и тот же пароль для всего
Для биллинга, FTP, домена, почты, CMS, панели управления хостингом — рискуете потерять все и сразу.

8. Ограничивайте права доступа ваших работников к сайту
Если вы даете своему подчиненному задание выложить какую-либо информацию на сайт, не передавайте ему пароль администратора и не заводите для него учетную запись с полными правами администратора. Не сидите сами под админскими правами, если в этом нет необходимости. Для этих случаев в CMS есть различные опции, которые позволяют тонко настроить возможности доступа. Главный принцип: минимизация доступа — доступ должен быть обеспечен только в те области сайта, которые необходимы для выполнения поставленной задачи. 

Таким образом, украв пароль вашего подчиненного или ваш собственный при помощи вируса (трояна), максимум, что сможет злоумышленник — испортить пару текстов на сайте и выставить неприличную картинку на главной странице, что совсем не критично.

Автор: Alexx88

 
Голосов: 7
Баллы рейтинга: 35

Надежда Дмитриевна пишет:
07.08.2011 11:32
Мда, думаю врядли кто пользуется данными советами всеми сразу, этож задолбаться можно... Хорошо, когда этим занимается отдельно взятый человек, которому всецело доверяешь...
Александр Вайс пишет:
07.08.2011 21:14
Этим занимаются сисадмины, которыми руководят специалисты по защите информации. Ну и сами хакеры, правда в обратном направлении))
Надежда Дмитриевна пишет:
08.08.2011 07:47
на счет паролей, это ж ни где не выполняется, любой работодатель вытрехнет из тебя пароль, и даже не сможешь заикнуться, что это нарушение прав
Елена Решедько пишет:
11.08.2011 18:49
Я паролей никому не даю: мало ли, что они там по незнанию натворят, а мне потом - исправляй. Фигу!
gaudeamus пишет:
23.08.2011 18:07
IP-маскирование - вот хорошее средство. Например, из сетки (подсетки) какого-то регионального интернет-прова. Весьма будет затруднительно взломать... Мой один проект ломанули, так пришлось вот так закрыть.
libertinee пишет:
27.09.2011 02:52
Коротко и о главном, не плохо!
kaiser пишет:
28.09.2011 13:06
gaudeamus, поповоду IP-маскирования - я никогда не пробовал данный метод. После Ваших слов появилось желание нарыть побольше информации поэтому...
chelovek пишет:
13.10.2011 00:55
Да движок нужно обновлять, но если сам пишешь, и там столько строк, трудно управлять. Это время идет.Есть защиту специально на движках есть такое