Офис НП AMWAY в Ярославле
Офис Амвей в Ярославле
На карте Офис AMWAY в ЯрославлеПрием и выдача заказов, презентация продукции Амвей, мастер–классы, вопросы по бизнесу Amway:
Адрес: улица Валентины Терешковой, дом 1 (Вход со двора)
Телефон: +7 (920) 112-00-91
Email: matyxho@mail.ru
Сайт: https://www.amway.ru/user/lebedem
Визитка: http://yar.meweb.ru
Иерархия статей
Статьи » Безопасность » Еще немного о мерах безопасности и защиты сайта
Сниппет

Так как вопрос безопасности сайтов не теряет своей актуальности, а, наоборот, набирает популярность ввиду активизировавшихся злоумышленников и беспечной халатности некоторых админов, решил еще немного написать на эту тему.

Еще немного о мерах безопасности и защиты сайта
Опубликовал  Pisatel Pisatel Добавлено  29-03-2013 14:12 29 Март 2013 14:12:42 3478  Прочтений 3478 Прочтений
Обновлено: 13-10-2020 01:23 Обновлено: 13 октября 2020 01:23:14  printer

Возможные проблемы и решения по безопасности сайта


Основы безопасности сайта базируются на трех аспектах:



  • Безопасность скриптов, CMS, программного обеспечения

  • Безопасность хостинга или сервера

  • Грамотности, аккуратности в плане безопасности администрации проекта


Если все это организовано и надлежащим образом выполняется, то твой сайт будет практически недосягаем для хакеров и вирусов.


Надежность программной части


Под этим понятием подразумевается твоя CMS ( система управления контентом) типа PHP Fusion, Joomla, WordPress и им подобные, либо скрипты, на которых работает твой сайт.


Надежность программной части изначально подразумевает отсутствие уязвимостей(дыр или багов, способных дать уязвимость), позволяющих мегакулхацкеру или боту получить доступ к БД, файловой системе или к панели административной части сайта. Чтобы в программной части не было уязвимостей, либо их возможность появления была близка к нулю, разработчики этих продуктов должны разрабатывать скрипты обязательно с оглядкой на безопасность, что выполняется далеко не всегда, либо выполняется, что называется, спустя рукава, короче- на "отЪипись". Суровая правда жизни, к сожалению, такова, что практически в каждой CMS или в скрипте существует уязвимость, а иногда их просто куча. Часть из них опубликована в открытом доступе (публичные уязвимости), другая не доступна в паблике и используется для направленных атак на конкретные ресурсы. Для того, чтобы программная часть твоего проекта была надежна и неприступна, нужно уделять пристальное внимание проблеме безопасности, которая с каждым днем становится все актуальнее. Если твой сайт работает на одной из популярных CMS, как я уже писал ранее, нужно регулярно следить за обновлениями на офсайте разработчиков. Если же сайт работает на скриптах собственной разработки, нужно выполнять сканирование сайта доступными средствами поиска уязвимостей (XSpider, Acunetix Web Vulnerability Scanner, утилитами для поиска SQL иньекций, XSS, RFI и другими), проверять исходный код сайта средствами статического анализа исходного кода (RIPS) , скриптами, которые имеются здесь в базе, и, если обнаружатся уязвимости, исправить их.


Кроме регулярных обновлений скриптов и CMS есть еще один важный момент, усиливающий безопасность и надежность скриптов- это правильная конфигурация настроек сайта. Важно: грамотно, со знанием, прописать права на файлы и директории (Chmod), закрыть доступы к внутренностям сайта (каталогам с резервными копиями, конфигурационным файлам и так далее), запретить выполнение скриптов в директориях загрузки, поставить дополнительную защиту на вход в админпанель. Практические советы посмотри здесь. Данные процедуры не спасут тебя на 100%, однако позволят значительно снизить вероятность взлома, даже при наличии уязвимостей в программной части.


Безопасность хостинга или сервера


Вторым, но не менее важным моментом в плане безопасности, является хостинг, на котором размещается сайт. Хостинг может быть shared (общий), или dedicated (выделенный). Для шаред-хостингов ответственность за безопасную настройку сервера лежит на админе хостинг-компании. Для дедика (VDS/VPS/DDS) эта ответственность лежит полностью на владельце сервера. Как в случае shared-хостингом, так и в случае dedicated-сервером, настройки конфигурации должны давать минимальную свободу действий, они должны быть выполнены специалистом, дабы эти настройки никак не сказались на работоспособности проекта или проектов. То есть на сервере должны быть разрешены только самые необходимые функции, а все остальное- запрещено. Например, если сайт не выполняет внешних подключений к другим серверам (парсеры погоды, курсов валют, новостей и т.п.) , то можно за ненадобностью отключить опции внешних подключений. Если сайт не использует системные вызовы (system, shell_exec, и подобные), то эти функции тоже можно "вырубить". Кроме того, необходимо ограничить область видимости файловой системы из скриптов и т.д., и т.п. Обо всем этом должен заботиться сисадмин сервера. Как ты, наверное, знаешь, на одном сервере шаред-хостинга размещаются десятки, а то и сотни сайтов, и каждому из них требуются свои функции. Именно по этой причине хостинг-компании максимально лояльно, иногда даже на грани халатности, подходят к вопросам настроек сервера, разрешая практически все. Естественно, это сказывается на общем уровне безопасности всех сайтов, размещенных на их серверах. Поэтому тебе, сайтостроитель, нужно более тщательно подходить к вопросу выбора хостинга: выбирать нужно тот, который позволяет производить настройку веб-сервера и php персонально для эккаунта, а не использовать установки по-умолчанию. Настройку dedicated- сервера должен проводить грамотный, а главное- опытный сисадмин, который сможет изолировать сайт от остальной части всей системы, максимально ограничив свободу скриптов и область их видимости, а также организовав механизмы контроля целостности файловой системы, системы резервного копирования и записи логов.


Аккуратность, грамотность и профессионализм админов сайта


На практике, владельцы ресурсов, как правило, уделяют слишком малое внимание вопросам безопасности, наивно полагая, что программная часть идеальна, настройки сервера надежны, безопасны и непробиваемы. Хотя, как показывает практика, собственная беспечность, граничащая с халатным безумством, является одной из основной причин взломов и заражения сайта вирусами. Ниже приведены основные правила, которые ты должен постоянно держать в голове:



  • Компьютер, с которого выполняется работа с сайтом, должен быть защищен хорошим лицензиноным антивирусным программным обеспечением и регулярно этим антивирусом проверяться. Если с сайтом работает не один человек, данное требование должно быть применимо ко всем без исключения.

  • Пароли от ftp/ssh/ панели администратора нужно менять регулярно, хотя бы раз в месяц

  • Ни в коем случае не хранить пароли в программах (ftp-клиентах, браузере, электронной почте)

  • Ставить сложные пароли вида JtdKC4a8@fW

  • Работать по безопасному протоколу SFTP или SCP


Подведем итоги


Чтобы сайт был защищен от вирусов и хакеров, нужно достаточно много внимания уделять проблеме безопасности: поддерживать программное обеспечение в актуальном состоянии, регулярно обновлять его, правильно настраивать хостинг и следить за настройками доступа к проекту. Если хотя бы один из этих элементов будет слабым звеном, то это может нести в себе потенциальную угрозу безопасности.  

Понравилась статья?
Метки для данной статьи
Похожие статьи
Поделиться:   
Последние активные темы форума
  Темы Просмотров Ответов Последние сообщения
folder Вопрос по переделке bb-кода
PHP, MySQL
22587 5 Pisatel
26. мая 2017
folder Вопросы по Ajax форме обратной связи
CMS PHP Fusion
70051 48 Ditrin
19. февраля 2017
folder BBCode YouTube Video Colorbox mod
CMS PHP Fusion
15537 2 Pisatel
10. декабря 2016
folder Как лучше создать собственную страницу?
CMS PHP Fusion
18129 17 Pisatel
11. мая 2016
folder Небольшие вопросы по скриптам магазина и катало...
PHP, MySQL
147697 80 Pisatel
11. января 2016
folder BBCode Code mod
CMS PHP Fusion
14641 0 Pisatel
31. августа 2015
folder Ajax Like Dislike Article Panel
CMS PHP Fusion
22844 16 Pisatel
07. июля 2015
folder Хлебные крошки / BreadCrumbs SEO Panel
CMS PHP Fusion
26588 17 Pisatel
04. июля 2015
folder Abbr Description BBCode
CMS PHP Fusion
7746 0 Pisatel
15. июня 2015
folder Плагин Email рассылки Mail To All by Pisatel
CMS PHP Fusion
37598 32 Pisatel
26. апреля 2015
folder Подозрительный трафик и прочие страшилки
Всякая хрень
11920 2 Ditrin
23. апреля 2015
folder Мод Newsletter - рассылка писем пользователям с...
CMS PHP Fusion
31228 13 Pisatel
10. апреля 2015
folder Мод отправки писем PHPMailer для PHP-Fusion
CMS PHP Fusion
131182 113 Ditrin
06. апреля 2015
folder Появление неизвестного файла subscriptions.php
CMS PHP Fusion
8927 2 Pisatel
06. апреля 2015
folder Autoban on IP
CMS PHP Fusion
23364 13 Pisatel
03. апреля 2015