Защите и безопасность сайта и хостинга

Что такое взлом сайта?

Интернет-сайт считается взломанным, в случае если посторонний человек (любым путем) получил доступ к файлам вашего интернет-сайта, которые хранятся на сервере.

Зачем ломают сайты?

Сайты взламывают, как правило, для того, чтобы заражать каким-то вирусом компьютеры пользователей, заходящие на них. Еще одна крайне важная цель — это рассылка спама при помощи вашего сервера, размещение различных скрытых ссылок на разнообразные сайты.

Во всех остальных случаях — это целенаправленный взлом для того, чтобы украсть информацию, или же требование денежных средств, чтобы хакеры перестали взламывать интернет-сайт.

Как взламывают сайты, и как можно защититься?

Кража паролей от хостинга и FTP
В случае если на персональном компьютере вебмастера есть вирус (или же вебмастер дал свои пароли от хостинг\FTP-аккаунта человеку, у которого на персональном компьютере вирус), то 90%, что данные пароли попадут создателям вируса и сайт со временем будет взломан.

Как избежать?

Всегда следите за тем, чтобы на вашем персональном компьютере не было каких-либо вирусов, также старайтесь никому не давать свои пароли от хостинг-аккаунта, а также доступа по FTP. Если даете, то обязательно убедитесь в том, что у данного человека на компьютере нет вирусов.

Поменяйте все свои пароли на более длинные, а также старайтесь не хранить их на компьютере, а уж тем более в веб-браузере. Кроме того, рекомендуем применять безопасное SHH-соединение для загрузки файлов интернет-сайта на сервер.

Хостинг-провайдер

Довольно часто взломы происходят и по вине хостинг-провайдера, потому что на сервере может установлено быть устаревшее ПО, которое весьма легко взламывается. При этом вебмастер не может никак на это повлиять.

Что делать?

Здесь все очень просто — размещайте свои сайты на надежном и солидном хостинге, который обладает хорошей репутацией и множеством клиентов. В нашем футере, вы можете найти рейтинги хостинг-провайдеров, с учетом различных потребностей вашего интернет-сайта.

Взлом CMS (системы управления веб-сайтом)

Не важно какая именно у вас CMS (самописная, платная или бесплатная). Если она популярна, то тысячи хакеров со всей планеты ищут в ней уязвимости для того, чтобы иметь специальный способ взломать одним махом многие тысячи интернет-сайтов. Правда если хакеры регулярно ищут «дыры» в коде систем управления сайтом, то создатели данных CMS регулярно выпускают обновления (так называемые патчи), которые улучшают безопасность и закрывают «дыры».

Что делать?

Всегда следите за тем, чтобы на вашем интернет-сайте была самая новая версия CMS, причем загруженная с официального ресурса разработчика, а не из другого места в Сети. Если CMS разработанная именно под ваш сайт, то актуальным будет заказать специальный аудит безопасности веб-сайта.

Где его можно заказать?

Это трудный вопрос, поскольку фирм, которые этим качественно занимаются — единицы, они берут за услуги довольно немалые денежные средства. При выборе такой фирмы обращайте внимание на ее портфолио, спросите у ее клиентов, как качественно они работают.

Взлом интернет-сайта через компоненты и модули

Если взять любую из указанных выше CMS в голом виде (без сторонних компонентов и модулей), то взломать ее будет очень сложно даже хакерам высочайшего уровня. Главную опасность несут расширения (плагины, модули, компоненты), которые создаются различными сторонними разработчиками.

Так, к примеру, устанавливая компонент комментариев, созданный на тяп-ляп, вы таким образом позволите хакеру вместо прикрепленной картинки или комментария залить на ваш сайт особый PHP-скрипт, который и позволит выполнить взлом.

Что делать?

Не пользуйтесь дополнительными расширениями от каких-либо подозрительных разработчиков. Кроме того, предельно внимательно относитесь к бесплатным компонентам и плагинам.

Установка прав доступа на файлы

Если вы установите специальные права 777 на какой-то файл вашего интернет-сайта, это будет означать то, что любой человек сможет прочитать, выполнить или записать данный файл. И, разумеется, это ведет к тому, что со временем хакер забросит на ваш ресурс PHP-код, который его взломает и таким образом даст контроль над веб-сайтом.

Как исправить?

Старайтесь также, чтобы на все директории вашего сайта выставлены были права 755, а на все файлы 644. Но прежде всего посоветуйтесь с создателем CMS, опытным программистом или хостером, так как изменение прав на файлы, вполне может привести к тому, что ресурс будет некорректно работать.

SQL-Инъекция

В подавляющем большинстве современных интернет-сайтов применяются базы данных (SQL), которые необходимы для динамического формирования страничек ресурса, исходя из действий пользователя. Весь данный процесс происходит при помощи SQL-запросов. В результате опытный хакер может при помощи входных данных ввести необходимый ему SQL-код, который затем выполнится на сервере и таким образом приведет к взлому ресурса.

Как защититься?

Прежде всего использовать защищенную CMS. Если вы разбираетесь в программировании, то тогда от SQL-инъекций можно спастись при помощи фильтрации различных SQL-запросов. К примеру, в PHP есть опция mysql_real_escape_string, удаляющая из запросов потенциально опасный код.

XSS

Суть такой атаки в том, что хакер подкладывает свой вредоносный код вместо пароля, логина и других данных, которые вводят пользователи.

Как избежать взлома?

К сожалению подобным атакам зачастую подвергаются даже весьма известные и популярные сайты (VK, Facebook) и противостоять им довольно трудно. Наша рекомендация — используйте хорошую и стабильную CMS или наймите профессионального программиста. Если на специалиста у вас нет денег, то тогда уберите сами со своего ресурса возможность зарегистрироваться, иметь личный аккаунт для любых пользователей.

Еще рекомендации!

Проверяйте ресурс на наличие вирусов.

Хостинг Ukraine имеет автоматическую проверку на вирусы!

Делайте бекап интернет-сайта как можно чаще.

Специальные лог-файлы содержат в себе все запросы, отправляемые к серверу и могут, как правило, помочь обнаружить лазейку, через которую ресурс был взломан. Если вы в них, разумеется, разбираетесь.

Но даже, если и не разбираетесь, сохраняйте их как можно чаще, поскольку хостинг провайдер хранит логи конкретное время (около двух недель). Если ваш интернет-сайт заразили в любой более ранний срок, использовать лог-файлы для поиска «дыры», к сожалению, уже не получится.

Если на вашем сайте есть опции оплаты (необходимо вводить номера банковских карточек), то используйте безопасный протокол https или пользуйтесь какими-то внешними сервисами оплаты.


Поделитесь с друзьями



Оставить комментарий

apteka mujchine for man ukonkemerovo woditely driver.