Офис НП AMWAY в Ярославле
Купить продукцию Амвей в Ярославле
На карте Купить AMWAY в ЯрославлеПриобрести высококачественную продукцию Амвей в Ярославле, получить консультации по бизнесу, заказать продукцию или получить заказ:
Адрес: улица Валентины Терешковой, дом 1 (Вход со двора)
Телефон: +7 (920) 112-00-91
Email: matyxho@mail.ru
Сайт: https://www.amway.ru/user/lebedem
Визитка: http://yar.meweb.ru
Иерархия статей
Статьи » Безопасность » Еще немного о мерах безопасности и защиты сайта
Сниппет

Так как вопрос безопасности сайтов не теряет своей актуальности, а, наоборот, набирает популярность ввиду активизировавшихся злоумышленников и беспечной халатности некоторых админов, решил еще немного написать на эту тему.

Еще немного о мерах безопасности и защиты сайта
Опубликовал  Pisatel Pisatel Добавлено  29-03-2013 14:12 29 Март 2013 14:12:42 3168  Прочтений 3168 Прочтений
Обновлено: 13-10-2020 01:23 Обновлено: 13 октября 2020 01:23:14  printer

Возможные проблемы и решения по безопасности сайта


Основы безопасности сайта базируются на трех аспектах:



  • Безопасность скриптов, CMS, программного обеспечения

  • Безопасность хостинга или сервера

  • Грамотности, аккуратности в плане безопасности администрации проекта


Если все это организовано и надлежащим образом выполняется, то твой сайт будет практически недосягаем для хакеров и вирусов.


Надежность программной части


Под этим понятием подразумевается твоя CMS ( система управления контентом) типа PHP Fusion, Joomla, WordPress и им подобные, либо скрипты, на которых работает твой сайт.


Надежность программной части изначально подразумевает отсутствие уязвимостей(дыр или багов, способных дать уязвимость), позволяющих мегакулхацкеру или боту получить доступ к БД, файловой системе или к панели административной части сайта. Чтобы в программной части не было уязвимостей, либо их возможность появления была близка к нулю, разработчики этих продуктов должны разрабатывать скрипты обязательно с оглядкой на безопасность, что выполняется далеко не всегда, либо выполняется, что называется, спустя рукава, короче- на "отЪипись". Суровая правда жизни, к сожалению, такова, что практически в каждой CMS или в скрипте существует уязвимость, а иногда их просто куча. Часть из них опубликована в открытом доступе (публичные уязвимости), другая не доступна в паблике и используется для направленных атак на конкретные ресурсы. Для того, чтобы программная часть твоего проекта была надежна и неприступна, нужно уделять пристальное внимание проблеме безопасности, которая с каждым днем становится все актуальнее. Если твой сайт работает на одной из популярных CMS, как я уже писал ранее, нужно регулярно следить за обновлениями на офсайте разработчиков. Если же сайт работает на скриптах собственной разработки, нужно выполнять сканирование сайта доступными средствами поиска уязвимостей (XSpider, Acunetix Web Vulnerability Scanner, утилитами для поиска SQL иньекций, XSS, RFI и другими), проверять исходный код сайта средствами статического анализа исходного кода (RIPS) , скриптами, которые имеются здесь в базе, и, если обнаружатся уязвимости, исправить их.


Кроме регулярных обновлений скриптов и CMS есть еще один важный момент, усиливающий безопасность и надежность скриптов- это правильная конфигурация настроек сайта. Важно: грамотно, со знанием, прописать права на файлы и директории (Chmod), закрыть доступы к внутренностям сайта (каталогам с резервными копиями, конфигурационным файлам и так далее), запретить выполнение скриптов в директориях загрузки, поставить дополнительную защиту на вход в админпанель. Практические советы посмотри здесь. Данные процедуры не спасут тебя на 100%, однако позволят значительно снизить вероятность взлома, даже при наличии уязвимостей в программной части.


Безопасность хостинга или сервера


Вторым, но не менее важным моментом в плане безопасности, является хостинг, на котором размещается сайт. Хостинг может быть shared (общий), или dedicated (выделенный). Для шаред-хостингов ответственность за безопасную настройку сервера лежит на админе хостинг-компании. Для дедика (VDS/VPS/DDS) эта ответственность лежит полностью на владельце сервера. Как в случае shared-хостингом, так и в случае dedicated-сервером, настройки конфигурации должны давать минимальную свободу действий, они должны быть выполнены специалистом, дабы эти настройки никак не сказались на работоспособности проекта или проектов. То есть на сервере должны быть разрешены только самые необходимые функции, а все остальное- запрещено. Например, если сайт не выполняет внешних подключений к другим серверам (парсеры погоды, курсов валют, новостей и т.п.) , то можно за ненадобностью отключить опции внешних подключений. Если сайт не использует системные вызовы (system, shell_exec, и подобные), то эти функции тоже можно "вырубить". Кроме того, необходимо ограничить область видимости файловой системы из скриптов и т.д., и т.п. Обо всем этом должен заботиться сисадмин сервера. Как ты, наверное, знаешь, на одном сервере шаред-хостинга размещаются десятки, а то и сотни сайтов, и каждому из них требуются свои функции. Именно по этой причине хостинг-компании максимально лояльно, иногда даже на грани халатности, подходят к вопросам настроек сервера, разрешая практически все. Естественно, это сказывается на общем уровне безопасности всех сайтов, размещенных на их серверах. Поэтому тебе, сайтостроитель, нужно более тщательно подходить к вопросу выбора хостинга: выбирать нужно тот, который позволяет производить настройку веб-сервера и php персонально для эккаунта, а не использовать установки по-умолчанию. Настройку dedicated- сервера должен проводить грамотный, а главное- опытный сисадмин, который сможет изолировать сайт от остальной части всей системы, максимально ограничив свободу скриптов и область их видимости, а также организовав механизмы контроля целостности файловой системы, системы резервного копирования и записи логов.


Аккуратность, грамотность и профессионализм админов сайта


На практике, владельцы ресурсов, как правило, уделяют слишком малое внимание вопросам безопасности, наивно полагая, что программная часть идеальна, настройки сервера надежны, безопасны и непробиваемы. Хотя, как показывает практика, собственная беспечность, граничащая с халатным безумством, является одной из основной причин взломов и заражения сайта вирусами. Ниже приведены основные правила, которые ты должен постоянно держать в голове:



  • Компьютер, с которого выполняется работа с сайтом, должен быть защищен хорошим лицензиноным антивирусным программным обеспечением и регулярно этим антивирусом проверяться. Если с сайтом работает не один человек, данное требование должно быть применимо ко всем без исключения.

  • Пароли от ftp/ssh/ панели администратора нужно менять регулярно, хотя бы раз в месяц

  • Ни в коем случае не хранить пароли в программах (ftp-клиентах, браузере, электронной почте)

  • Ставить сложные пароли вида JtdKC4a8@fW

  • Работать по безопасному протоколу SFTP или SCP


Подведем итоги


Чтобы сайт был защищен от вирусов и хакеров, нужно достаточно много внимания уделять проблеме безопасности: поддерживать программное обеспечение в актуальном состоянии, регулярно обновлять его, правильно настраивать хостинг и следить за настройками доступа к проекту. Если хотя бы один из этих элементов будет слабым звеном, то это может нести в себе потенциальную угрозу безопасности.  

Понравилась статья?
Метки для данной статьи
Похожие статьи
Поделиться:   
Последние активные темы форума
  Темы Просмотров Ответов Последние сообщения
folder Вопрос по переделке bb-кода
PHP, MySQL
18981 5 Pisatel
26. мая 2017
folder Вопросы по Ajax форме обратной связи
CMS PHP Fusion
52341 48 Ditrin
19. февраля 2017
folder BBCode YouTube Video Colorbox mod
CMS PHP Fusion
13280 2 Pisatel
10. декабря 2016
folder Как лучше создать собственную страницу?
CMS PHP Fusion
15511 17 Pisatel
11. мая 2016
folder Небольшие вопросы по скриптам магазина и катало...
PHP, MySQL
113678 80 Pisatel
11. января 2016
folder BBCode Code mod
CMS PHP Fusion
12017 0 Pisatel
31. августа 2015
folder Ajax Like Dislike Article Panel
CMS PHP Fusion
19081 16 Pisatel
07. июля 2015
folder Хлебные крошки / BreadCrumbs SEO Panel
CMS PHP Fusion
22003 17 Pisatel
04. июля 2015
folder Abbr Description BBCode
CMS PHP Fusion
6631 0 Pisatel
15. июня 2015
folder Плагин Email рассылки Mail To All by Pisatel
CMS PHP Fusion
31455 32 Pisatel
26. апреля 2015
folder Подозрительный трафик и прочие страшилки
Всякая хрень
10376 2 Ditrin
23. апреля 2015
folder Мод Newsletter - рассылка писем пользователям с...
CMS PHP Fusion
16081 13 Pisatel
10. апреля 2015
folder Мод отправки писем PHPMailer для PHP-Fusion
CMS PHP Fusion
102360 113 Ditrin
06. апреля 2015
folder Появление неизвестного файла subscriptions.php
CMS PHP Fusion
7842 2 Pisatel
06. апреля 2015
folder Autoban on IP
CMS PHP Fusion
21330 13 Pisatel
03. апреля 2015