Защита сайта от вредоносного кода

Защита сайтаЗащита сайтаКогда команда «Prosaitov» проводит полный комплекс мероприятий по защите сайта от взлома возникает необходимость внести заключительные правки, которые ограничат вероятность атаки со стороны ботов и недобросовестных посетителей. Данные действия минимизируют вероятность прямого заражения через сайт.

Фильтрация содержимогоФильтрация опасного содержимого

Если мы видим, что на сайте присутствуют потенциально опасные поля без фильтрации данных, где можно разместить спам и подозрительные ссылки, мы стараемся выбрать оптимальную защиту этих полей. Например, «Safe Browsing API» от Яндекса, позволяющий проверять до 100 000 ссылок в сутки по маске и префиксам.

Safe Browsing API от Яндекса

Чёрный списокАнтиспам плагины и чёрные списки IP-адресов

Если аудитория Вашего сайта – это исключительно коммерция с таргетингом Москва и Московская область, то имеет смысл разрешить комментарии и записи всем посетителям из этих регионов без антиспама. Хостам из США можно или запрещать комментарии, или устанавливать стойкую CAPTCHA-защиту.

Этим Вы добиваетесь 2-х целей: увеличиваете удобство и лояльность целевых посетителей и ограничиваете доступ к ботам и сомнительным визитёрам. Очень эффективное средство по защите от сомнительного кода.

Ограничение HTML теговОграничение нежелательных HTML-тегов

Так же мы можем настроить фильтр разрешённых HTML-тегов. Это более удачный вариант, нежели собирать длинный список запрещающих правил. «Белый список» позволяет отбросить любое другое содержимое уже на входе. Желательно так же обрезать все возможные <script> разрешения.

FraudУдаление мошеннических партнёрских программ

Последнее время Яндекс ужесточил требования к рекламных партнёрским программах, активно использующим мобильные перенаправления и вредоносные редиректы на мошеннические java-апплеты, отправляющие SMS на платные номера.

Если на сайт коммерческий и имеет данные партнёрские программы, то, скорее всего, сайт был взломан. Наиболее активно сегодня развиваются всевозможные auto-shell эксплоиты с автоматизацией инжекта вредоносного кода в тело страницы без уведомления владельца сайта.

Ограничение доступа к FTP, СУБД, панели администратора

Если необходимо предоставить временный доступ пользователю (например, freelance работнику), то желательно не только внимательно относиться к выбору исполнителя, но и не забывать менять все пароли после того, как работа будет закончена.

14.11.2013