Безопасность и защита сайта
Ежедневно в Интернете взламывается огромное количество сайтов, причем, выполняя это, хакеры преследуют разные цели. Во-первых, взломы могут проводиться из-за денег или с целью завладеть какими-то недоступными данными. Во-вторых, некоторые хакеры это делают для поднятия настроения или нарабатывания опыта. В-третьих, это может быть непреднамеренный, ошибочный взлом, но такое случается крайне редко.
Каждый веб-мастер периодически задает себе вопрос, что нужно предпринять, чтобы безопасность сайта находилась на высоком уровне, какая требуется защита от взлома сайта, чтобы оградить сайт от несанкционированных гостей? Некоторые пользователи допускают ошибки, за которые впоследствии дорого платят. Одна из таких ошибок – легкие пароли, типа 123456 или Marina. Кроме того, если на ПК установлена даже лицензионная антивирусная программа, это не обеспечивает 100% защиты. Все равно требуется периодическая проверка сайта на безопасность.
Чтобы избежать проблем, никогда не следует переходить по сомнительным ссылкам. Если даже ссылка от лучшего друга, не факт, что именно он ее вам отправил. Его просто-напросто могли взломать, ассылку отправить от его имени, но уже с вредоносным ПО внутри. Тогда Вам потребуется лечение сайта от вирусов. Если пользователь не будет соблюдать осторожность, ему не помогут ни антивирус, ни сложный пароль.
На данный момент это является одной из наиболее работающих техник взлома.
Бывают случаи, когда пользователь по электронной почте получает письмо с просьбой под каким-нибудь предлогом отослать пароль. Если пользователь хоть немного подумает, то поймет, что это обман. Администрации абсолютно не нужны пароли, они и так имеют доступ.
Как уберечь сайт от взлома?
Начнем с пароля. Это секретная комбинация символов, подтверждающая личность и полномочия. В этой комбинации не должны отражаться данные о пользователе и его близких. Пароль должен состоять из абсолютно случайных символах. Пример идеального пароля для панели управления проектом: 0g3f-eT-eXxVkUHxFqwbP8S8OrGjw_Bg. Количество символов может варьировать от 6 до 32. Разрешены цифры от нуля до девяти, подчеркивание и тире, а также буквы только на латыни от а до z (в нижнем и верхнем регистре) Но даже при самом сложном пароле никогда не будет лишним проверить сайт на вирусы.
Особое внимание необходимо уделять uNet паролю, поскольку, имея его и email адрес, хакер зайдет на любой сайт, имеющий uNet-авторизацию. Чтобы сменить пароль достаточно ввести пароль администратора вебтопа и новый пароль, используя путь: Настройки/Настройки профиля/Безопасность.
Пароль администратора вебтопа представляет собой глобальную панель управления всеми сайтами с uNet аккаунта. (если не создан для каждого сайта отдельный пароль). Путь для смены пароля администратора вебтопа: Настройки/Настройки профиля/Безопасность. Установка одинаковых паролей для администратора вебтопа и uNet аккаунт – исключается. Выполняя эти действия, можно заодно и провести анализ сайта на вирусы, если они не обнаружены – отлично, а при их наличии срочно проводится лечение сайта.
Для того чтобы установить отдельный пароль для проекта, необходимо зайти в панель управления, в верхнем меню нажать вкладку «безопасность» и выбрать «сменить пароль аккаунта» (panel/?a=password – домен сайта). Не допускается совпадение пароля с другими, например от социальной сети, почты и т.д.
К наиболее опасным местам входа в панель управления относятся Интернет-кафе, рабочие, школьные или расположенные в любых других помещениях компьютеры. Если в силу сложившихся обстоятельств пользователю предстоит зайти в панель управления не со своего личного ПК, это необходимо отметить галочкой поле "Чужой компьютер", а когда браузер предложит сохранить пароль, нужно отказаться от этого предложения. По завершению работы, нажать «Выход».
Пароль можно доверять лишь тем пользователям, в которых абсолютно уверены. Но это существенно снижает безопасность вэб сайтов. Без секретного ответа сайт не смогут удалить, а создать проблемы – это вполне реально.
Существует такой термин, как секретный вопрос, представляющий собой один из способов подтверждения личности и полномочий, однако наиболее высокой степени. В отличие от пароля панели управления, секретный вопрос лучше никому не доверять. Он меняется в uNet профиле через путь: Настройки/Настройки профиля/Безопасность.
При выборе секретного вопроса и ответа пользователи, как правило, останавливается на том, что легче вспоминается. Необходимо выбирать собственный вариант, исходя из тех соображений, что все предложенные данные, можно узнать, если хакер всерьез займется взломом проекта.
В случае если пользователь забыл секретный вопрос, с панели управления сайтом отправляется письмо в службу технической поддержки. После предоставления доказательства, что сайт принадлежит пользователю, секретный вопрос будем изменен. Помните, что от всех этих манипуляций зависит защита сайта от вирусов.
Люди, которым полностью доверяет владелец сайта, называются модераторами и со-администраторами. Если такие полномочия предоставить человеку, у которого имеются плохие намерения, можно обзавестись нежелательными проблемами. Даже при полной уверенности в человеке, все же следует соблюдать требования безопасности. Чтобы навредить проекту, злоумышленникам достаточно получить пароль этого человека.
Что касается параметров безопасности, то Движок uCoz`а предоставляет возможность настроить вход в панель лишь с указанных подсетей и IP-адресов (уровень фиксации IP-адреса, тайм-аут сессии и максимум одновременных входов в ПУ). Для выполнения этих настроек необходимо зайти в панель управления, в верхнем меню выбрать вкладку безопасности и пункт параметры безопасности. (panel/?a=security –домен сайта).
Если говорить о максимальном числе одновременных входов в ПУ, это зависит количество человек и от того, насколько часто они администрируют проект.
Тайм-аут сессии представляет собой предельно допустимое время, при котором отсутствует активность ПУ. Отлучившись на час, панель будет требовать повторной идентификации и ввода пароля.
Уровень фиксации IP-адреса (используется латинский алфавит):
А – наиболее точный и строгий метод, подойдет для пользователей с выделенным IP-адресом;
В – средний уровень фиксации;
С – по сравнению с А и В, более мягкий вариант фиксировании, рекомендован для пользователей с динамичным IP-адресом;
D – способ «без привязки». Наиболее подходящий вариант для тех, у кого зачастую в ПУ появляется ошибка, сообщающая об изменившемся IP-адресе.
Такая функция, как «Вход в панель лишь с указанных подсетей и IP-адресов» используется крайне редко, когда пользователь желает полностью защитить свой проект и у него выделенный неменяющийся IP-адрес.
Бывают случаи, когда пользователь не может попасть в ПУ. Оказавшись в такой ситуации, следует сообщить в службу технической поддержки uCoz посредством обратной связи или через другой сайт. Сообщение пишется по следующему шаблону: «Здравствуйте! Я поставил(а) блокировку по IP на вход в ПУ сайтом, по прошествии некоторого времени IP сменился.. Требуется снять блокировку. …» При этом указывается адрес сайта, ответ на секретный вопрос, IP-адрес пользователя, IP-адрес, с которого разрешен вход в ПУ, а также причину, по которой пользователь не имеет возможности заходить по IP-адресу с поставленной привязкой.
Существуют два вида логов (протокол, журнал событий).
a.log – протокол с занесенными действиями всех пользователей. Указывается время, дата, действие (editing message – редактирование сообщения, forum – форум), пользователь, его группа, а также IP-адрес, с которого выполнялось действие, комментарий Entry ID: 19570 (Идентификатор сообщения 19570); Thread ID: 1992 (Идентификатор топика 1992).
security log – протокол попыток входа в ПУ, в котором указывается время, дата, действие (Login to control panel - вход в контрольную панель, panel – ПУ), пользователь, IP-адрес, комментарий.
Пользователь не должен забывать проводить поиск вируса на сайте, а при их обнаружении – удаление вирусов с сайта.
В паролях PHP FTP не должны отображаться данные о пользователе и его родных и близких. Должны использоваться случайные символы. Пример идеального пароля для PHP FTP и FTP: WceBsyWy_3XG.
Пароль может состоять из 6-15 символов. Разрешены цифры от нуля до девяти, тире и подчеркивание, а также буквы из латинского алфавита от a до z.
Проведение такой услуги, как аудит безопасности сайта может оказаться очень кстати.