• Войти через OpenID
  • СВЕЖИЕ НОВОСТИ

    Instagram сообщил о сбое в работе счетчика подписчиков
    Страницы Facebook смогут общаться в групповых обсуждениях
    Через Facebook Messenger можно будет отвечать на сообщения в Instagram
    Instagram позволит привязывать к одному профилю несколько других
    Mail.Ru Group запускает новый браузер
    Показано с 1 по 5 из 5

    Безопасность вашего сайта

    1. shaka вне форума #1
      Участник Аватар для shaka
      Регистрация
      16.08.2016
      Адрес
      Харьков
      Сообщений
      49
      Репутация
      0
      Поблагодарили 2 раз(а)
      Эта тема обширная и болезненная. Но защита никогда не помешает. Я затрону только одну сторону этого многогранника с которой мне пришлось столкнуться и принять меры защиты.

      Причины взломов сайтов и устранение последствий

      В последнее время участились случаи взлома сайтов. Взлому, преимущественно, подвергаются сайты неопытных пользователей, но бывают и исключения. В данной заметке я попытаюсь объяснить причины, из-за которых стал возможен взлом, а также как устранить последствия взлома сайтов.

      Почему сайты взламывают?
      Как правило, взломать ваш сайт становится возможным по причине:
      1) уязвимостей в cms, плагинах и модулях, которые вы используете;
      2) кражи паролей. Если вы сохраняете пароли в ftp менеджере (например filezilla, total commander и другие), а так же браузерах, то вы в зоне риска. Также не следует забывать о так называемых "кейлоггерах", которые могут украсть ваши пароли, даже если вы каждый раз их набираете при подключении по ftp;
      3) подбора пароля. В случае, если ваш пароль был простым (например "vasya", "qwerty" и так далее), то его подбор - дело времени.

      Что делать для того, что бы мой сайт не взломали?
      1) Регулярно обновляйте cms, плагины и прочие дополнения. Важно понимать, что в новых версиях практически всегда устраняют уязвимости, которые были найдены с момента выпуска предыдущего обновления;
      2) Соблюдать элементарные правила безопасности (например не используйте простые пароли и не храните их в ftp/ssh клиентах);
      3) Не используйте cms/плагины/дополнения/шаблоны скачанные с непроверенных/подозрительных сайтов.

      Что делать, если сайт уже был взломан?
      Действия, которые необходимо предпринять, если ваш сайт взломали:
      1. Проверьте ваш компьютер на наличие вирусов. Если такие есть, то обязательно удалите.
      2. Смените пароль на вход в аккаунт биллинга и аккаунта в панель управления хостинга.
      3. Произведите поиск вредоносного ПО с помощью серверного антивируса, доступного из файл-менеджера панели управления хостингом и его удаление ( обратитесь в техническую поддержку для установки антивируса и проверки им сайтов).
      4. Произведите сканирование каждого сайта с помощью скрипта "revisium точка ком" и удалите найденное вредоносное ПО. Рекомендации по использованию данного скрипта вы можете найти на сайте разработчика.
      5. Произведите обновление всех cms, модулей и плагинов на вашем аккаунте до последней версии.

      Важно понимать:
      - даже если взломали один сайт, то под угрозой все сайты на данном аккаунте. Поэтому действия, описанные в данной заметке, необходимо выполнять для всех сайтов;
      - ответственность за безопасность ваших сайтов, а также своевременное устранение уязвимости ваших скриптов (cms и прочее), несёте исключительно вы;
      - сотрудники службы тех. поддержки хостинг-провайдера не занимаются устранением последствий взлома и не обновляют ваши cms, плагины и модули.

      Практические советы для WP
      Для повышения безопасности сайтов на WP рекомендуется сделать следующее:

      1. Защитите свой wp-config.php добавив в .htaccess

      <files wp-config.php>
      order allow,deny
      deny from all
      </files>

      Благодаря данному правилу доступ к wp-config.php по http будет ограничен.

      2. Ограничьте доступ к .htaccess добавив в .htaccess

      <files ~ "^.*.([Hh][Tt][Aa])">
      order allow,deny
      deny from all
      satisfy all
      </files>

      3. Заблокируйте доступ к wp-content создав внутри .htaccess c правилом

      Order deny,allow
      Deny from all
      <files ~ ".(xml|css|jpe?g|png|gif|js)$">
      Allow from all
      </files>

      Практические советы для Joomla
      Для повышения безопасности сайта на cms Joomla добавьте в .htaccess, который находится в корне сайта

      <Filesmatch ".(php)$">
      order deny,allow
      deny from all
      </Filesmatch>
      <Filesmatch "^index.php">
      order allow,deny
      allow from all
      </Filesmatch>
      <Filesmatch "^index2.php">
      order deny,allow
      allow from all
      </Filesmatch>

      Данное правило запрещает выполнение каких-либо скриптов в корне сайта, кроме index.php и если злоумышленник сможет загрузить бэкдор в корень сайта, то выполнить он его не сможет. Однако, злоумышленники может загрузить бэкдор в любой другой каталог. Поэтому во все подкаталоги первого уровня необходимо добавить в .htaccess (если его нет, то необходимо создать) правило

      <Files ~ ".(php)$">
      Deny from all
      </Files>

      Также в .htaccess, который размещается в корне сайта добавьте правило

      <Files ~ «^configuration\.»>
      Order allow,deny
      Deny from all
      Satisfy all
      </Files>

      которое ограничит доступ к конфигурационному файлу по http.

      Практические советы для DLE
      Для повышения безопасности сайта на cms DLE необходимо

      1) создать в /engine/classes/min/ .htaccess с правилом

      <Files "index.php">
      Order Deny,Allow
      Allow from all
      </files>

      Внимание! В версиях DLE ниже 10.0 данного каталога может не быть. В таком случае пропустите данный пункт.

      2) создать в /engine/classes/ .htaccess с правилом


      <FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Tt][Mm][Ll])\.?">
      Order allow,deny
      Deny from all
      </FilesMatch>

      3) в .htaccess, который находится в корне сайта внесите правила

      <FilesMatch ".php">
      Order allow,deny
      Deny from all
      </FilesMatch>

      <FilesMatch "\.(avi|mp3|mp4|flv|swf|wmv|png|css|gif|jpeg|jpg|r ar|zip|xml|rss)$|^$">
      Order deny,allow
      Allow from all
      </FilesMatch>

      <FilesMatch "antivirus.php">
      order deny,allow
      Allow from all
      </FilesMatch>

      <FilesMatch "updates.php">
      order deny,allow
      Allow from all
      </FilesMatch>

      <FilesMatch "opensearch.php">
      order deny,allow
      Allow from all
      </FilesMatch>

      <FilesMatch "keywords.php">
      order deny,allow
      Allow from all
      </FilesMatch>

      <FilesMatch "registration.php">
      order deny,allow
      Allow from all
      </FilesMatch>

      <FilesMatch "rating.php">
      order deny,allow
      Allow from all
      </FilesMatch>

      <FilesMatch "refresh.php">
      order deny,allow
      Allow from all
      </FilesMatch>

      <FilesMatch "editpost.php">
      order deny,allow
      Allow from all
      </FilesMatch>

      <Files "referer.php">
      order deny,allow
      Allow from all
      </files>

      <Files "print.php">
      order deny,allow
      Allow from all
      </files>

      <Files "images.php">
      order deny,allow
      Allow from all
      </files>

      <Files "vote.php">
      order deny,allow
      Allow from all
      </files>

      <Files "addcomments.php">
      order deny,allow
      Allow from all
      </files>

      <Files "addpost.php">
      order deny,allow
      Allow from all
      </files>

      <Files "editcomments.php">
      order deny,allow
      Allow from all
      </files>

      <Files "antibot.php">
      order deny,allow
      Allow from all
      </files>

      <Files "index.php">
      order deny,allow
      Allow from all
      </files>

      <Files "upload.php">
      order deny,allow
      Allow from all
      </files>

      <Files "go.php">
      Allow from all
      </files>

      <Files "rss.php">
      Allow from all
      </files>

      <Files "ajax.php">
      Allow from all
      </files>

      4) Установите права 444 на все .htaccess
      5) Установите права 444 на все файлы шаблонов (но не каталоги)

      Общие рекомендации
      Для повышения безопасности независимо от cms сайта рекомендуем внести в php.ini следующие настройки

      allow_url_fopen = Off
      allow_url_include = Off
      expose_php = Off
      register_globals = Off
      disable_functions = popen,exec,system,passthru,proc_open,shell_exec,in i_restore,dl,symlink,chgrp,putenv,getmyuid,fsockop en,posix_setuid,posix_setsid,posix_setpgid,posix_k ill,apache_child_terminate,chmod,
      chdir,pcntl_exec,phpinfo,virtual,proc_close,proc_g et_status,proc_terminate,proc_nice,getmygid,proc_g etstatus,proc_close,escapeshellarg,show_source,pcl ose,safe_dir,dl,ini_restore,chown,chgrp,shown_sour ce,
      mysql_list_dbs,get_current_user,getmyid,leak,pfsoc kopen,get_current_user,syslog
      display_errors = Off

      Внимание, функции disable_functions нужно указывать в строку, в данном примере вынужден разбить на три строки для наглядности, но в php.ini должна быть одна строка, каждая функция через запятую без переноса строки.

    2. kiril888 вне форума #2
      Новичок Аватар для kiril888
      Регистрация
      12.08.2016
      Сообщений
      24
      Репутация
      0
      Поблагодарили 1 раз
      Спасибо! Статья действительно полезная!

    3. Fresh_Art вне форума #3
      Участник Аватар для Fresh_Art
      Регистрация
      20.12.2016
      Адрес
      Москва
      Сообщений
      31
      Репутация
      0
      Поблагодарили 0 раз(а)
      спасибки за статью

    4. jina вне форума #4
      Активный участник Аватар для jina
      Регистрация
      14.06.2015
      Сообщений
      362
      Репутация
      40
      Поблагодарили 2 раз(а)
      Полезная информация. У меня сайты на вордпрессе, то я использую специальные плагины типа Wordfence Security, которые делают анализ сайта от вредоносного кода и всяких лазеек.

    5. vetalbon вне форума #5
      Участник Аватар для vetalbon
      Регистрация
      04.03.2016
      Сообщений
      74
      Репутация
      0
      Поблагодарили 1 раз
      спасибо))))))))

    Информация о теме

    Пользователи, просматривающие эту тему

    Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

    Ваши права

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  

    SEMSOCIAL.RU © 2012 - 2014.
    О поисковых системах просто