обзор хостингов выделенных серверов

На определённом этапе некоторые владельцы сайтов и веб-мастера задаются вопросом безопасности. Согласитесь, защита сайта — это важный этап в его проектировании и эксплуатации. Кто-то делает это ещё на этапе формирования технического задания, кто-то на конечной стадии создания сайта, а кто-то после взлома его ресурса. Защищать или не защищать, а также какие меры применять для защиты сайта и сколько на это можно потратить, каждый решает сам для себя.

Это зависит от многих факторов. Но, я думаю, основной это то — на сколько большие потери от взлома сайта будут для владельца. Если это личный блог в котором вы рассказываете о своём походе на рыбалку, то тратить тысячи гривен на его защиту, вероятно, будет лишним. Если это сайт фирмы, которая предоставляет услуги по информационной безопасности или же это сайт, от работы которого зависит непосредственная прибыль фирмы (например, интернет-магазин), то безопасность такого сайта играет первоочередную роль и на её организацию можно потратить достаточно большую сумму денег. В данном случае защита сайта — первоочередная задача.

В интернете существует большое количество ресурсов, на которых можно найти информацию о том, как защитить свой сайт от взлома. При написании этой статьи я буду руководствоваться этой информацией, а также личным опытом применения её в своей практике. В предыдущих статьях я уже затрагивал тему безопасности, например, Обзор jSecure Authentication. Защита админки Joomla, Обзор Siteguard. Проверка сайта на вирусы, Безопасный пароль.

Я постараюсь рассмотреть этот вопрос с различных позиций. Разделяя внутренние, внешние, локальные и сетевые угрозы (это лично моя обобщённая классификация угроз, для облегчения написания статьи). Под внутренними угрозами я понимаю человеческий фактор (случайно написал пароль доступа к административной зоне сайта на бумажке на мониторе, случайно забыл сменить права доступа к файлам после обновления компонентов сайта и так далее) и недобросовестность людей, работающих над сайтом (специально отдал пароль от административной зоны сайта конкурентам, специально установил вредоносное расширение и так далее). Под локальными угрозами я понимаю опасность, идущую от заражённого вирусом компьютера, с которого Вы работаете с FTP и административной зоной сайта. Под сетевой SQL, PHP инъекции, межсайтовый скриптинг (XSS), атаки типа Shell, Upload File, URL, Form, Cookie, Address Bar, Live Script и так далее.

Интересная статья:  Обзор бесплатных онлайн

Сейчас очень многие предпочитают системы управления контентом в качестве платформы для создания сайта. Помимо удобства и функциональности это несёт массу проблем (база данных, сторонние расширения (компоненты, модули, плагины) и так далее) касательно обеспечения безопасности. При создании статических сайтов, немного легче обеспечить более надёжную защиту. Но хочу сразу отметить, что ни статические ни динамические сайты не защищены от взлома на 100%. Описанные в этой и других статьях способы повышения защищённости сайта от взлома не дают 100% гарантии того, что Ваш сайт никто и никогда не взломает. Эти способы всего лишь уменьшают процент вероятности взлома. Вспомните о LulzSec и Anonymous, вспомните какие ресурсы были ими скомпрометированы! А у этих организаций, наверняка, есть деньги, оборудование и высококвалифицированные специалисты для обеспечения защиты своего сайта.

Рассмотренные мною способы защиты могут быть реализованы как бесплатными, так и платными средствами. Некоторые из методов защиты будут просты в реализации и дальнейшей эксплуатации, а некоторые доставят массу хлопот как при реализации, так и при дальнейшем использовании и модернизации сайта. Различные способы будут давать различную степень защищённости для разных типов угроз (внутренние, внешние, локальные, сетевые). В основном я буду рассматривать защиту сайтов на примере системы управления сайтами с открытым кодом Joomla 1.7. Могу сказать, что однозначного ответа, что лучше, платные системы с закрытым исходным кодом или бесплатные с открытым, нет. Вероятно, что самым безопасным будет создание собственной системы управления контентом, расположенной на собственном хостинге Но это может быть дорого и долго.

Многие способы и советы будут применимы как для любой системы управления контентом, так и для статических сайтов.

Под негативными последствиями взлома сайта я понимаю: модификацию контента сайта, внедрение вредоносного кода, внедрение ссылки, перенаправляющей на заражённый ресурс и так далее. То есть всё, что влечёт за собой вредоносные последствия для Вас и Ваших пользователей в результате модификации кода сайта со стороны.

Интересная статья:  - донбасс сегодня: всу

Ниже приведу список того, что я рекомендую делать для повышения безопасности Вашего сайта на Joomla.

Выбирайте надёжный хостинг с хорошей технической поддержкой и репутацией.
Организуйте надёжное и постоянное создание резервных копий сайта.
По максимуму ограничьте права доступа к файлам и папкам пользователям.
Используйте возможности настройки сервера при помощи .htaccess файла для повышения безопасности сайта.
Отключите Register Globals и Safe Mode.
Используйте выделенный IP адрес для Вашего сайта.
Уберите файл конфигурации Joomla (configuration.php) за пределы папки public_html.
Используйте SSH-доступ к сайту.
Используйте SSL-сертификаты.
Делайте зеркало сайта на другом хостинге.
Настройте ведение логов.
Обновляйте Joomla и сторонние расширения до самых последних версий.
Скройте стандартный путь доступа к панели управления сайтом на Joomla.
Ограничьте доступ по IP адресу к административной панели сайта, FTP и панели управления хостингом.
Уберите следы того, что сайт сделан на Joomla.
Используйте расширения для защиты сайта Joomla от взлома.
Используйте безопасные пароли. Храните их в зашифрованном виде.
Используйте токен для аутентификации на сайте.
Используйте уникальный префикс для базы данных сайта.
Используйте ЧПУ.
Обеспечьте круглосуточную поддержку и модерацию Вашего сайта.
Чётко разграничьте права доступа для всех пользователей и групп.
Организуйте оповещения администратора сайта на электронную почту и телефон о важных (с точки зрения безопасности) событиях на сайте.
Не устанавливайте ненужные Вам расширения. Пользуйтесь надёжными расширениями и шаблонами сайта, загруженных с официальных ресурсов их разработчиков.
Используйте капчи и системы автоматической фильтрации спама.
Необходимо обеспечить безопасность загружаемых пользователями файлов сна сайт.

Не допускайте заражение вирусами Вашего локального компьютера, с которого Вы работаете с сайтом.
Проведите аудит безопасности Вашего сайта, включающий анализ кода.
Постоянно тестируйте свой сайт.
Проверяйте свой сайт на наличие вредоносного кода.
Отслеживайте рейтинг своего сайта в репутационных системах.
Храните в тайне информацию о системе управления контентом, её версии и о сторонних расширениях.
Информируйте пользователей о том, что сайт был взломан.
Читайте новости по безопасности.
Решите, нужна ли Вам регистрация пользователей.

Интересная статья:  Суперкопилка - обзор

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *