Ликбез по безопасности сайтов

Приветствую, друзья! Сегодня разговор пойдет о безопасности сайтов. Давно уже собиралась поднять эту тему в своем блоге. Хотела доступным языком донести до тех, кто заказывает сайты, мысль, что обеспечение безопасности веб-ресурса – момент очень важный. Игнорировать его нельзя. Опытный вебмастер обязательно примет необходимые меры и создаст надежную преграду от нападений вероломных хакеров на сайт, насколько это возможно в условиях реальности Интернета. Не последнее слово в создании безопасности и за серверами и их настройками.

Способов нанести вред сайту множество. Меня спрашивают, зачем и кому нужно взламывать только созданный сайт, который толком еще и поисковые роботы обнаружить не могут, какая польза от этого хакерам. Односложного ответа нет, потому что цели могут быть совершенно разными. На сайты вставляют фишинговые ссылки, при переходе по которым пользователь запускает вирусы на свой компьютер. На сайтах размещают «левую» рекламу. Просто заражают сами сайты вирусами. Взломанный сайт исчезает из поисковой выдачи до устранения причин заражения. И это негативно отражается на продвижении.

Ошибочно думать, что сайты взламывают вручную – сидит некто и перебирает пароли. Конечно, есть любители и таких забав, но, в основном, это делают специально созданные программы. Они запускаются в сеть, и им все равно, месяц сайту или десять лет. Они сканируют все виртуальное пространство, преследуя обозначенную цель. Попал наш сайт в фокус, нет на нем защиты – хакеры попали в яблочко. Потом владельцу долго придется искать этот вредоносный код (обычно такие вещи хорошо маскируются), удалять, проверять и чистить все папки и файлы сайта, многократно проверять его на экологию, писать апелляции в поисковые системы, представляя доказательства того, что порядок на сайте наведен.

Убедительная иллюстрация сказанного на этих припасенных скриншотах. Если интересны цифры, кликните по верхнему изображению.

О безопасности сайта

popyitki_vzloma_wp

Давно логи (журнал) не чистила. 🙂 Пошла посмотреть и была потрясена настойчивостью некоторых IP. Всю простыню фотографировать смысла нет. Поверите на слово, что крутить страницу можно было до бесконечности? Меры по безопасности предприняты комплексные. Может, это и не позволяет пробить броню?

P.S. Тема обширная. У меня не было поставлено задачи описать методы защиты. Такой информации в сети полно. Но вот это важное замечание уважаемого комментатора x64 просто обязана поднять в сам текст.

x64on

Заказчики могут сделать идеальный сайт, не имеющий уязвимостей на момент создания. Но спустя пару месяцев всё может измениться, и боты будут активно сёрфить интернет, выискивая сайты, который можно заразить с помощью свежего эксплойта.
Безопасность — процесс постоянный. Нужно всегда обновляться, ведь разработчики движков и плагинов не только внедряют новые фишки, но и закрывают уязвимости.
Можно установить крутейший плагин, который изолирует и спрячет админку, но если есть возможность выполнить свой скрипт, это не поможет.

Ликбез по безопасности сайтов: 52 комментария
    1. Так кому писано-то, Танюш? Писано заказчикам на создание сайтов. 🙂 Плагинов море. У меня стоит limit login attempts, плюс хостер со своей стороны обеспечивает защиту.

      1. Мне больше нравится сокрытие админки, этот метод защищает от перебора паролей только, а там от других вариантов взлома через админку.

        1. Сокрытие админки, насколько понимаю, выполняется разными методами. Когда наворачивается 3 плагина, которые и сами могут оказаться уязвимыми на каком-то этапе усовершенствования, то это не выход. Нам бы попроще чего в код вставить. ))

              1. Вот спасибо! И личико какое симпатичное откуда-то нарисовалось! )) Если без шуток, пора взяться за защиту всерьез. Поздно будет плакать по волосам, когда без головы останусь.

    1. Удалось восстановить доступ в админпанель хостинга, Василий?

      1. Нет. Предварительное решение о смене хостинга укрепляется. Заодно поменяем тему блога. Придумал и проверил на уникальность новый домен.

        1. Вот это да! Смелое решение! Шаблон сразу выбирайте адаптивный. В Вашей тематике читатели могут зайти в блог и в дороге, и в пути с мобильного устройства. Для души.

  1. Этих читателей для души надо еще создать. Моей души хватит на всех? Если нет, возьму у тебя. В долг.

    1. Василий, хватит! И души, и чувства юмора, и собственного стиля, и любви к своему Алтаю. Правда!

      1. За знаниями к тебе обращаться. Дремучесть — это не юмор. Здесь моим учителям будет не до смеха.

        1. Ничего! Я учитель хороший. Интернет не дал пропасть способностям, слава Богу, несмотря на то, что выкинули в свое время с работы в культуре. А оставаться в школе на четверть ставки было глупо. Отдача-то все равно на полную.

          1. Кого куда выкинула волна Перестройки — не тема в комментариях. Князя Гвидона с мамой царевной, она выкинула на необитаемый остров. Продолжение все знают.
            Если не боишься дремучих, копи деньги для поездки на Алтай. После многочисленных попыток научить чему-либо ты не усидишь и приедешь, чтобы посмотреть, все здесь такие или я один.

  2. Ага, я в прошлом году о том же писала. Что интересно, с тех пор набегов с попытками инъекций и переборов уязвимых плагинов стало меньше, хотя не думаю, что это связано с публикацией. Зато время от времени кто-нибудь приходит в комменты и спрашивает, а зачем кому-нибудь взломанный блог.

    1. Вот и будем объяснять, зачем, Юля! 🙂 Еще меня убивает количество спама. Даже seo продвижением спамят. Ладно, клиентам ссылки суют, но сами сеошники спамят! Жуть просто! Хотя то, что вчера увидела в блоге у Василия (Василий, сорри, палю — у нас обычно разговоры откровенные), объясняет прыть спамеров. А я -то думала, сто процентов сайтов и блогов с комментированием обеспечивают защиту от спама. Ан нет.

      1. Надежда, вот я сейчас тоже не выдержала и быстренько написала у себя пост на тему «а зачем ломают». Там в комментах то и дело об одном и том же спрашивают, и я решила ответить 1 раз, а потом только давать ссылку.

        1. Такой пост узкой тематики? Представляю, как все по полочкам разложено. Правильно, что написали. Почитаем обязательно!

  3. Заказчики могут сделать идеальный сайт, не имеющий уязвимостей на момент создания. Но спустя пару месяцев всё может измениться, и боты будут активно сёрфить интернет, выискивая сайты, который можно заразить с помощью свежего эксплойта.
    Безопасность — процесс постоянный. Нужно всегда обновляться, ведь разработчики движков и плагинов не только внедряют новые фишки, но и закрывают уязвимости.
    Можно установить крутейший плагин, который изолирует и спрячет админку, но если есть возможность выполнить свой скрипт, это не поможет.

    1. Очень справедливое замечание о том, что безопасность — процесс постоянный. Позволите цитату вставить в сам текст? Все важно! Каждое слово!

      1. Надежда (простите, не знаю как Вас величать по батюшке), даже спрашивать не нужно. Добавляйте, что сочтёте необходимым.

        1. По отчеству меня называют только в офисе сына, и то потому, что директор — мой бывший школьный ученик. Интернет привнес какую-то демократичность в обращения. Мы как артисты теперь — имя и фамилия. Или мой возраст так ощущается через монитор? 🙂 Все! Пойду дополню статью.

          1. Дело не в возрасте. Я и школьников по имени-отчеству зову.
            Просто так воспитался. А уже при индивидуальном общении предлагаю меня «тыкать».
            Так что, пожалуйста, можно меня на «ты»? 🙂

            1. А я-то испугалась, что дала обнаружить в себе старую маразматичку! 🙂 Вообще возраст меня не пугает, даже иногда пользуюсь, в шутку, конечно, когда дети начинают непосильно нагружать. То картинку сделай для счета, то цены поменяй в прайсе, то еще что. И вот тогда у меня аргумент: «Я старая больная женщина!» А вообще и с одним сайтом работы хватает на круглые сутки. О блоге уже молчу совсем.

              На «ты» можно, но как же без имени совсем? Хотя бы вымышленного. Понимаю, что есть категория айтишников, у которых шифроваться просто в крови. 🙂

              1. Надежда, это Вы старая? И как не совестно вводить людей в заблуждение?!!
                Секрета из своего имени не делаю. Кличут по паспорту Андреем, почему — и сам не знаю 😀

  4. Да, защита превыше всего! Конечно же, на 100% не защитишься. Однако безопасность должна быть на приличном уровне. Просто усложнить логин и пароль будет недостаточно.
    Кстати, Надежда, логин k9******48 это ваш настоящий логин для входа или нет? Если да, то срочно меняйте его и закрывайте дыры на своем блоге.

    1. Сергей, а если бы был admin, менять не нужно было бы? Вы сами взломать пытались? 🙂 Логин можно менять сколько угодно. Кому нужно, они всегда найдут. А дырку закрыть надо, это точно.

      1. Сам я не пытался взламывать.))) Просто, я рекомендую не махать на это рукой, а позакрывать все прогрехи в безопасности. На многих блогах можно без труда узнать логин. Более подробно на эту тему можете у меня почитать:
        http://alpha-byte.ru/wordpresso/plaginyi/skryt-login-wordpress

    2. Сергей, у меня к вам такой нескромный вопрос: а вы возьмётесь угадать мой логин? А если угадаете — расскажете, где это слабое место?

  5. Андрей, приятно познакомиться! Возраст — понятие относительное. Правильно же? Особенно в Интернете.

    1. Однозначно.
      Но вот «тыкать» человека, с которым первый раз общаешься, вопрос совести конечного индивида 😀
      Особенно если не знаешь о человеке не то, что возраст, а вообще хоть что-нибудь.

      1. Все зависит от воспитания. Среди таких же бывших учеников, ставших взрослыми, полно, кто чуть не с момента Последнего звонка обращается ко мне на «ты». В сельской местности у многих это норма.

        1. Там объяснимо, все всё друг о друге знают.
          Хотя с незнакомыми общаются на Вы (по крайней мере так было там, где жил).
          И вообще, в чужой монастырь… 😀

  6. Уважаемая Княгиня, ваш логин я определил запросто. По понятным причинам, сообщать здесь его не буду. Слабое место — архивы записей.

    1. А туда запрет не поставить в файлик? 🙂 Геннадий, Вы, так думаю, пришли сообщить, что ответили на мой комментарий в своем блоге? Письма ведь нет. Они очень редко приходят, исключительно редко. Почему, интересно? А я ведь помню, просто еще не дошла.

  7. Я не знаю, можно ли вставить файлик запрета. Скорее всего можно. Но я уже не заморачиваюсь над этой проблемой. Самый надежный способ — длинный и сложный пароль. А логин все равно опытные хакеры смогут определить.
    О каком комментарии и в какой записи Вы говорите, Надя? Я всегда отвечаю на любые Ваши комментарии.

    1. Вы отвечаете, а письма на почту не приходят, хотя я подписываюсь.

  8. Жаль, конечно. Но я не знаю, что посоветовать. В конце каждой записи, есть еще одна опция по подписке на комментарии от другого плагина: под кнопкой «Отправить комментарий» кликните на ссылку строки «Вы можете управлять подписками на эту запись.»

    1. Подписалась на все статьи, которые комментировала. Давайте, заваливайте ответами. 🙂 Проверим работоспособность. Не, я такой системы не пережила бы, честно.

  9. Я сам в ней долго разбирался когда видел подобный способ на других блогах. Кода установил — разобрался окончательно. Есть где-то на блоге статья про этот плагин. Давно это было…

    1. Геннадий, извините, что сую нос в чужой вопрос, но Вы однозначно теряете посетителей, которые оставили хотя бы один комментарий. При получении уведомления на почту люди бы возвращались для продолжения диалога. А так ушел и забыл. Я даже забыла, к какой именно статье писала последний комментарий вчера.

  10. Ну, многие получают ответы. Даже установив галочку. Почему не у всех это происходит — не знаю. Я над этой проблемой много бился, но она по прежнему так мною не решена до конца.

    1. Геннадий, так хочется верить, что я не единственная, кто выносит Вам мозг по этому поводу, а то даже неловко. Но, главное, я ведь не потеряюсь! 🙂

  11. Я попробую отвечать лично на Ваши комментарии на моем блоге из админки. Кажется только в таком случае письма приходят к Вам на почту.

    1. А вот как приму за ухаживание, что делать будете? 🙂 Не переживайте, Геннадий, за меня. Я за других Ваших читателей переживаю — сама-то не потеряюсь.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *