Безопасность сайта. Часть 1: Выбор регистратора и хостера

Вашкевич Александр

У вас нет прав на просмотр профайла этого пользователя.

Безопасность сайта. Часть 1: Выбор регистратора и хостера

Не открою Америку, если скажу, что интернет-сайт – источник дохода большинства людей, занимающихся работой в сети. Для кого сайтостроение – это главный и единственный источник дохода, для кого-то – вспомогательный элемент ведения бизнеса, некоторые же и вовсе делают ресурсы «для души». Но как бы там ни было, ясно одно – сайт может приносить прибыль. А где есть прибыль, есть и любители урвать себе ее кусок незаконными методами.

Взлом сайта – один из них. Важно понимать – большая часть успешных хакерских атак на сайты возможна лишь из-за беспечности и невнимательности самого владельца ресурса. Конечно, ломануть можно что угодно, но чтобы получить доступ к правильно и надежно защищенному сайту, необходим талантливый и умелый хакер, услуги которого стоят недешево.

В информационной безопасности существует правило – оценивайте необходимость защитных мер целесообразно потенциальной стоимости охраняемых данных. Это значит, что в принципе взлом регионального интернет-магазина детских игрушек с помощью услуг хакера за 10 000-15 000 $ возможен, но пойдут ли конкуренты на подобный шаг? Сомнительно. А значит, нет необходимости применять меры безопасности сложнее стандартных и обязательных.

Если же вы реально рассматриваете вариант серьезного в финансовом и техническом плане подхода к взлому вашего ресурса, то данная статья не для вас – лучше сразу потратьтесь и наймите специалиста по безопасности, быстрее и надежнее будет.

Остальным же, думается, данный материал будет небезынтересен и полезен. Информации по этой тематике много, поэтому дабы не утруждать читателя объемными постами, разобьем всю тему на три статьи приемлемого размера:

Тема 1: Вводная часть. Безопасность при выборе регистратора доменов и хостера.
Тема 2: Безопасность движка сайта и общие рекомендации по информационной безопасности при работе с сайтами.
Тема 3: Что делать, если сайт все же взломали?

Начнем. Для удобства восприятия информации мысленно разделите ее на три блока, которые необходимо последовательно изучить и усвоить. 
  • - Безопасность домена.
  • - Безопасность хостинга.
  • - Безопасность движка и админки (если используется).

Отдельно выделим общие рекомендации по информационной безопасности, которые необходимо соблюдать всегда, не только при защите сайтов. О них будет сказано позднее.

Безопасность домена

Думаю, не стоит объяснять роль домена в жизни ресурса. Нет домена - нет сайта. При этом сам www-адрес без сайта может спокойно существовать, чем зачастую и пользуются злоумышленники. Привязав DNS вашего домена к своему сайту, они убивают сразу двух зайцев. Во-первых, увеличивают посещаемость своего ресурса за счет ваших позиций в поисковых системах и закладочного трафика, во-вторых, могут оправить ваш домен под фильтр или в бан (как аффилиат).

Большинство похищений www-адресов происходит из-за взлома панели управления регистратора. Именно поэтому этот посредник должен быть надежным и доверенным. Очень часто сайты регистраторов-однодневок плохо защищены и имеют уязвимости, которые хакеры без проблем могут использовать в своих нуждах. Надежные регистраторы обычно следят за безопасностью своего ресурса и его пользователей.

Второй важный момент – выбор логина и пароля. Логин-e-mail должен быть надежным и нескомпрометирвоанным, потому что если почта была взломана раз, может быть взломана и еще раз, а хакеру более чем достаточно получить доступ к электронному ящику, чтобы увести домен.

Пароль. Тут все стандартно – не менее 10 символов, созданных генератором случайных «пассвордов».Никаких qwerty, 123456 и т.д., даже временно – велик риск, что такой пароль так и останется постоянным.

Если регистратор предлагает возможность подключить двухэтапную аутентификацию с помощью SMS, обязательно сделайте это.
Отдельно стоит упомянуть о том случае, если вы приобретаете сайт и его владелец предлагает вам передачу домена «пушем», т.е. его передачу прав на управление в пределах одного регистратора другому аккаунт. Такой вариант очень рискованный, т.к. предыдущий хозяин может без особых проблем вернуть такой домен себе (по сути, он и остается его владельцем). Обязательно проводите перерегистрацию доменного имени на себя.

Безопасность хостинга

Хостинг – сердце сайта. Получив к нему доступ, злоумышленник может нанести наибольший вред ресурсу. Почти все варианты взлома сайта так или иначе базируются на получении доступа к панели управления хостингом.

Наша же основа безопасности здесь та же, что и при поиске регистратора – выбирайте доверенного, надежного хостера, который заботится и безопасности своих клиентов. Обязательно должна быть возможность передачи данных по протоколу https, ограничение IP-адресов, с которых можно попасть в панель управления, отсутствие жалоб пользователей о частых взломах, защита от DDoS. Желательна также двухэтапная аутентификация.

Идентификаторы должны быть по стандартной формуле – надежный e-mail + случайно сгенерированный пароль.
Еще несколько важных моментов, на которые стоит обратить внимание. Во-первых, это ftp-сервер. По возможности старайтесь пользоваться файловым менеджером, встроенным в панель управления хостингом. Если же вы пользуетесь программами (например, Total Commander), никогда не сохраняйте в них идентификационные сведения. При создании новых пользователей ftp не забывайте о надежных логинах-паролях, а также старайтесь предоставлять данные для входа по этому протоколу как можно меньшему числу людей – только тем, у кого есть реальная необходимость.

Стоит быть внимательными и при использовании баз данных. Из-за того, что процедура создания базы и пользователя в ней совершается чаще всего единоразово, многие не уделяют этому должного внимания. А между тем, база данных хранит всю информацию о вашем сайте, включая логин и пароль от админ-панели ресурса. Поэтому имя пользователя БД и его пароль также должны быть взломостойкими.

Будьте особо внимательны при закачке новых файлов на сервер. Нередки случаи, когда они содержат вредоносные скрипты, которые могут упрощать взлом хостинга. Если вы сомневаетесь в безопасности загружаемого файла, лучше не закачивать его вообще либо попросить проверить его на вредоносность знакомого специалиста или самого хостера (если он имеет хорошую тех. поддержку).

Также периодически проверяйте, не появляются ли на хостинге новые файлы без вашего ведома. Если это так, смените все возможные пароли доступа и сообщите об инциденте в техническую поддержку хостера – пусть проверят.

Некоторые хостинги хранят регулярно создаваемые бэкапы баз данных и файлов в том же каталоге, где размещен сам сайт. Этого делать не стоит, наилучшее место для хранения архивов с материалами ресурса – ваш персональный компьютер. Потому что в противном случае злоумышленнику, получившему доступ к корневой папке, ничего не стоит вместе с основными файлами удалить и все бэкапы, и в итоге вы никак не сможете восстановить сайт.

На этой оптимистичной ноте первая часть длиннопоста подошла к концу. Ждите в ближайшие дни продолжения банкета. А все интересующие вопросы по теме этой статьи можете задавать в комментариях.
Это нравится:0Да/0Нет
V Oleg
7 Июн 2013 15:20:57
Не плохая познавательная статья))
Такой вопрос.. Где вы храните свои данные для входа (хостинг, домен, фтп, свои сайты. регистрации и тп.) ?

Если один комп, то проблем нет.. запаролили и пусть лежит.. А как быть если 3 компа? и пароли время от времени меняются.. это ведь только первое время будешь их обновлять везде))

у меня такой вариант.. на 2х компах зашифрован локальный диск (bitlocker - стандартный в win7), файл excel в паролем (от дурака) и в архив winrar тоже с паролем..  Но с обновляемостью не очень удобно..

Облакам я не доверяю особо.. пусть даже это гугл..

У кого как? Может есть вариант получше..
Ссылка Это нравится:0Да/0Нет
Это нравится:0Да/0Нет
Александр Вашкевич, эксперт SearchInform
7 Июн 2013 15:35:20
Я обычно храню все пароли в текстовом файле на флешке, которую больше ни для чего не использую. Главное - убедиться, что она ничем не заражена и обозвать сам файл каким-нибудь нейтральным именем, например, "учеба" или "моя стата в wot". Для пущей безопасности можно накидать на флешку каких-нибудь бесполезных документов - курсовые, рефераты, электронные книги, так чтобы файлик с паролями среди этого мусора не выделялся. 

Шифрование и запароленые файлы - небезопасный вариант, как это ни странно, потому что зашифрованный архив с паролем сразу же укажет злоумышленнику на цель, где точно можно будет поживиться чем-то ценным и которую нужно взламывать в первую очередь.  
Родитель Ссылка Это нравится:0Да/0Нет
Это нравится:0Да/0Нет
Евгений
7 Июн 2013 18:52:40
флешка (только для хранения ключей и больше не для чего) и "деревьянный" блокнот - лучшая защита ))
Ссылка Это нравится:0Да/0Нет

Новые темыОбъявленияСвободное общение
08:36 Обновления интерфейса яндекс метрики 
18:34 Webvork - международная товарная СРА сеть с сертифицированными офферами на Европу. 
15:35 Влияние ссылок буржнете 
15:13 Рапида умерла. Куда выводить с AdSense? 
15:05 Чем заменили ТИЦ? 
15:01 Profit Pixels - In-House Форекс, Крипто, Трейдинг CPA Офферы | Еженедельные Выплаты | CPA до $950 
11:45 Bropush - твой бро в монетизации сайта push-уведомлениями 
15:34 «Взрываем языковые преграды» – переводим любые тексты 
15:31 Доходные сайты под бурж 
15:06 Вечные ссылки с ТОПОВЫХ ресурсов! Размещение вечных трастовых ссылок с тИЦ от + 1000 до +45000 
14:20 Куплю аккаунт Habr.com 
13:31 Платим за реги на форумах и досках, дорого. 
12:59 ProxyWins.com - 15% по промо-коду "venividivici" 
12:07 Продам аккаунт на хабр фриланс 
02:58 Точные прогнозы на футбол 
00:17 Суд постановил заблокировать Telegram 
23:26 150+ хакерских поисковых систем и инструментов 
22:05 Курс доллара упал ниже 85 рублей 
19:31 Таксистам из "Яндекс Go" стало очень выгодно занижать рейтинг всем пассажирам 
13:37 Тренды заработка 2024-2025 
12:58 Чем отличаются прокси?