Рейтинг:  4 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда не активна
 

В этой инструкции мы рассмотрим несложные способы, которые помогут защитить ваш веб сайт и усилить его безопасность.

как защитить свой веб сайт

Сначала давайте разберёмся для чего взламывают и заражают сайты.

Первое и самое банальное - это просто у кого то чешутся руки. Дай-ка попробую.

Второе, это взлом и получение доступа к сайту для использования ресурсов вашего сервера. Например, для рассылки спама, для редиректов, для установки внешних ссылок и т.д.

Третье, это заражение сайта и распространение вредоносных программ. В том числе вирусов-шифровальщиков, разнообразных троянов и т.п.

Четвёртое, редко, но бывает - это нездоровая конкуренция. Когда конкуренты способны даже на взлом и уничтожение сайта. Но чаще всего заканчивается небольшой DDOS-атакой.

Все эти действия преследуются по закону. Отдел "К" МВД России взялся за это серьёзно.

Чем это может закончиться?

Любой взлом по крайней мере неприятен. 
Закончиться это может по-разному:

  • Редирект, в том числе и мобильный, может работать долго и незаметно, и может полностью скушать вашу посещаемость. 
  • Заражение сайта вирусами может грозить выпадением сайта из индекса поисковых систем и пометкой "сайт может угрожать безопасности вашего компьютера". Посещаемость тоже резко упадёт.
  • Посторонние php файлы (которые с виду никак себя не проявляют) могут при отправке спама, создавать нагрузку на хостинг и замедлить работу сайта. К тому же IP адрес может попасть в спам базы, что вероятнее всего. 
  • Взлом ради интереса (и по другим причинам) может уничтожить сайт полностью.
  • Установка внешних ссылок на вашем сайте также грозит потерей доверия со стороны поисковых систем, выпадению из индекса и попаданием под фильтры.

В общем ничего хорошего...

Как защитить свой сайт от взлома? Чек-лист.

1) Первое и самое важное.

Хороший хостинг. Если мы изначально не обеспечим для сайта хороший фундамент, то следующие пункты будут бесполезными.
Какие тут рекомендации?

  1. Если вы только учитесь, либо вам не нужны мощные ресурсы, то используйте проверенный хостинг, посмотреть список можно на этой странице.
  2. Если у вас уже хорошая посещаемость или у вас коммерческий проект, то переходите на VDS хостинг
  3. Если вы создаёте сайты, и у вас не один сайт, то тоже рекомендую VDS

Почему VDS? 

Во-первых, на VDS ваш сайт работает автономно. Часто на виртуальных хостингах сайты работают вместе на одной машине, и злоумышленник имея доступ к сайту Васи Пупкина, который расположен на той же машине, что и ваш сайт - может получить доступ и к вашему сайту тоже. 
Не всегда, но этим часто грешат виртуальные хостинги.

Во-вторых, на виртуальном хостинге 1 IP адрес даётся нескольким десяткам сайтов. Если этот IP попадёт в спам базу, то на ваш сайт могут быть наложены санкции.

В-третьих, у вас есть полный доступ к серверу, можете устанавливать что угодно.

Из VDS могу порекомендовать FirstVDS, они сейчас тоже перешли на быстрые SSD диски, поэтому сайты там работают быстро.
Стоимость его не большая, где-то в районе 350 рублей в месяц.

Прим.: Есть идея провести эксперимент с виртуальным хостингом и VDS. Есть сайт на виртуальном хостинге, который постоянно взламывают, и думается мне, что это из-за хостинга. Если вам тоже интересно, то напишите в комментариях.

2) Не используйте варезные расширения, в том числе шаблоны.

Скачивайте все расширения только с официальных сайтов их разработчиков. Прямо сейчас проверьте и вспомните, нет ли на вашем сайте таких расширений.

Избавляемся от вареза как можно скорее. В 90% случаев в таких расширениях есть бекдоры, через которые получить доступ к вашему сайту дело пары минут. Даже скорее всего в этом случае, ваш сайт уже есть в базе злоумышленников, с вашим логином и паролем.

Такие базы сайтов с бекорами, продаются на специальных ресурсах, сам лично видел.

3) Включите SEF (ЧПУ) + htaccess

Адреса вида index.php?option=com_content могут служить для злоумышленников в качестве указателя.
Включенная же функция SEF прячет такие адреса и формирует вместо них человеко-понятные.

Переименуйте файл htaccess.txt в .htaccess, это повысит безопасность сайта, потому что в этом файле содержаться важные инструкции для веб-сервера.

4) Не храните пароли в FTP клиентах.

FTP сам по себе небезопасный протокол, поэтом кража сохранённых паролей - дело 5 минут. 

5) Не храните пароли в браузерах.

То же самое что и с FTP.

6) Проверьте права на папки и файлы.

Папки 755, файлы 644 - это стандарт.

7) Логин admin.

Проверьте, чтобы логин администратора НИ в коем случае НЕ был admin, а пароль чтобы содержал буквы и цифры.
Есть информация, что сайты со стандартным логином, взламываются на ура.

8) Спрячьте админку Joomla

Это можно сделать при помощи расширения Jsecure Lite или AdminExile.
Это избавит вас от брутфорса, т.е. от подбора паролей.

9) Запретите прямое обращение к скриптам.

В папке tmp разместите файл .htaccess со следующим содержимым:

<Files ~ "\.(php|cgi|pl|php3|php4|php5|php6|phps|phtml|shtml|py)$">
Deny from all
</Files>

Этот код запрещает прямое обращение извне к файлам с перечисленными расширениями.
Часто заражение и взлом сайта происходит через эту папку. Это хранилище временных файлов.
Туда складываются картинки, архивы и другие файлы  загруженные через сайт.

Дополнительно такие файлы .htaccess можно разместить и в других системных папках, но имейте ввиду, что файл .htaccess действует на все вложенные папки и подпапки, до того момента, пока не встретится другой .htaccess с другими инструкциями.

Можно безболезненно положить его в папки:

  • tmp
  • cache
  • cli
  • images
  • includes
  • languages
  • libraries
  • plugins
  • и во все созданные вами папки, если они не предполагают прямого обращения к скриптам.

Но обязательно проверьте работоспособность сайта. Если что перестанет работать, то вы в курсе что у вас запрет на прямое обращение. Первым делом смотрите эти htaccess файлы.

10) Делайте регулярное резервное копирование сайта.

Пусть это требует дополнительного времени, усилий, но актуальная резервная копия - это единственная 100% защита вашего сайта.
Если у вас есть актуальный бекап - то вам уже ничего на страшно. Согласитесь?

Бекап сайта можно сделать при помощи компонента Akeeba Backup или настроить резервное копирование в панели хостинга.
Обычно хостинг позволяет это сделать, единственное - нужно дополнительное место для резервных копий.

Прим.: Кстати, есть одно решение, которое позволяет загружать бекапы в облако (на Я.Диск или Dropbox), о нём в следующей статье.

За 40 Евро (~2800 рублей) можно купить PRO версию Акибы и настроить автоматическое резервное копирование, без вашего участия.
Правда, придётся приготовить место под бекапы, и не забывать чистить его от старых бекапов.

11) Яндекс.Вебмастер + Гугл.Вебмастер.

Обязательно подключите сайт к Яндекс.Вебмастеру и Инструментам веб-мастеров Гугл.
Они могут довольно оперативно сообщить вам о наличии неполадок на сайте или о содержании вредоносного ПО.

12)  Следите за обновлениями расширений и движка.

Обновления расширений и CMS системы выпускают не случайно. В них часто выходят исправления ошибок, в том числе и ошибок безопасности.

13) Используйте платный антивирус на вашем компьютере.

Базы антивирусных сигнатур для платных антивирусов обновляются чаще, поэтому риск заражения меньше.

14) Изменяйте пароль пользователя базы данных.

На многих хостингах пароль пользователя БД, совпадает с паролем аккаунта. Поэтому получив пароль от БД, злоумышленник спокойно войдёт в аккаунт хостинг-провайдера.

15) Не храните бекапы в корневой папке сайта.

Например, после переноса сайта с локального сервера. Знаю многие там оставляют архивы Akeeba Backup, сам грешил ранее))

 

P.S.: Также смотрите обзор расширений для повышения безопасности сайта

Желаю всего хорошего!

С уважением, Олег Касьянов.

X

Инструкция по планированию сайта
С чего начать создание сайта?

Инструкция по созданию сайта

  • Инструкция по созданию сайта
  • Шаблон для составления плана сайта
  • Чек-лист по этапам создания сайта

* Никакого спама. Гарантирую!