Защита сайта от взлома

В данной статье будут рассмотрены основные профилактические мероприятия на сайте, которые позволяют защитить свой ресурс от возможного взлома и заражения: стойкий пароль, регулярные обновления, надёжное ПО, скрытие служебной информации.

Основные рекомендации по защите сайта от вредоносного кода

Защита сайта

1. Использование бесплатного (open source) или лицензионного программного обеспечения.

Почему важно использовать проверенное ПО? На сайтах, где располагаются взломанные версии дополнений, шаблонов и систем управления сайтом нередко можно встретить практику инжекта (вставки) вредоносного кода прямо в тело шаблона или плагина.

2. Регулярное обновление системы управления сайтом и всех установленных плагинов.

Ежедневно выходят десятки эксплоитов для распространённых CMS, способных скомпрометировать систему, используя уязвимости программного обеспечения. В последних версиях WordPress автоматическое обновление включено по умолчанию, т.к. данная система является очень распространённой и часто атакуемой.

Надёжный пароль

3. Установите надёжные пароли на FTP, SSH, MySQL базу и панель администратора.

Одним из самых эффективных средств для атаки на сайт является перебор пароля (brute force-атака). Именно поэтому учётные данные для входа в систему должны быть надёжными и периодически меняться. В настоящее время существует богатый выбор менеджеров паролей, позволяющих автоматически заполнять поля. Не сохраняйте данные пароли в браузере – они легко расшифровываются современным вредоносным ПО.

Удаление

4. Удалите установочные файлы и скрипты после инсталляции CMS и дополнений.

После установки CMS могут оставаться временные скрипты, которые позволяют повторно переустановить систему, не обладая соответствующими правами доступа. Всегда стирайте файлы инсталляции после того, как процесс установки был завершён. У большинства скриптов и CMS данный путь называется install.php – он должен отсутствовать.

Фильтрование

5. Фильтрование разметки js-данных, которые могут быть встроены в код системы.

Такие редакторы, как markitup позволяют делать прямые вставки php и js в код любой страницы. Это очень удобно, однако может быть опасно, данный редактор доступен абсолютно всем пользователям.

Все данные должны проверяться на допустимую длину, размер, интервалы и т.д. В рабочем (финальном) скрипте не должно быть отладочных и экспериментальных параметров.

Глаз

6. Скрывайте версии ПО и БД, копирайты CMS-системы и установленных дополнений

Злоумышленники ищут сайты с потенциально уязвимыми версиями ПО в обычном поиске. Если на сайте нет данной информации, то Ваш сайт не попадёт в атакуемый список. Информация о версиях CMS и СУБД может быть интересна только взломщикам. Для обычных пользователей служебные данные бесполезны, их интересует содержимое сайта, а не скорость генерации страницы.

13.11.2013