Куда идем?

Никто не хочет, чтобы его сайт взломали. Тем не менее, до сих пор многие игнорируют необходимые меры безопасности.  В статье пойдет речь о наиболее частых заблуждениях веб-мастеров, которые угрожают безопасности их сайтов.

1. «Меры безопасности необходимы только для крупных сайтов»

Мой сайт представляет из себя довольно небольшой ресурс с маленьким количеством посетителей. Это не интернет-магазин, обрабатывающий транзакции по картам. Поэтому для хакеров он не интересен.

К сожалению, вы заблуждаетесь. Любой веб-сайт и любой веб-сервер представляют интерес для хакеров. Для проникновения на сайт используются автоматические скрипты, которые не видят разницы между крупным и небольшим ресурсом. Хакеры взламывают сайт по нескольким причинам:

  • Defacing – подмена главной страницы сайта вызывающими граффити или политически ориентированными посланиями;
  • Phishing – получение конфиденциальных данных пользователей – логинов и паролей, а также номеров кредитных карт;
  • Spamming –рассылка спама;
  • Распространение вирусов и «троянских коней»
  • Включение сайта в botnet (сеть взломанных компьютеров, администрируемых удаленно) для DDOS-атак.

Вывод: каждый сайт привлекателен для хакеров.

2. «Обновлять?»

Я не обновляю сайт, потому что:

  • это не нужно из-за причин, указанных в первом заблуждении;
  • не могу сделать это сам;
  • я внес изменение в код ядра сайта и поэтому не могу обновить его;
  • ..(по каким-то своим соображениям).

Все программное обеспечение может содержать ошибки (баги), причем не важно где оно функционирует – на компьютере или на сервере и что это: CMS типа Joomla! или расширение. Разработчики программного обеспечения регулярно выпускают обновления. Обновления, касающиеся безопасности, должны быть установлены незаметлительно. К тому же, начиная с Joomla 2.5, установливать обновления стало намного проще, в один клик. Многие расширения можно обновить из панели управления.

Вывод: важно обновлятьJoomla! и ее расширения.

3. «Я скачал это программное обеспечение/программу в Интернете»

Я скачал расширение илишаблон Joomla! с полезного ресурса. Или мне приглянулось платное расширение, и я хочу  сначала его протестировать и поэтому скачиваю сначала бесплатную версию с какого-нибудь файлбоменника. Если тестирование пройдет успешно, то я обязательно куплю оригинальную версию. Обещаю!

  1. Всегда скачивайте программы только с сайтов разработчиков. Это единственная возможность хоть как-то минимизировать риск от скачивания подделок.
  2. Платные шаблоны и расширения, загруженные с файлообменников почти всегда содержат спрятанные поправки (adjustments). К примеру, добавлены нежелательные спам-ссылки, которые  не любит Google или скрипты, которые помогут взломать ваш сайт. Не используйте для тестирования коммерческий софт, скачанный с бесплатного ресурса. Хакеры не будут ждать, пока вы все оттестируете и будете готовы купить коммерческую версию.

Вывод: скачивайте программное обеспечение непосредственно у разработчиков.

4. «Мой хостинг провайдер всегда делает бэкапы».

Они делают это регулярно, так зачем же мне напрягаться и делать бэк-апы самому?

  1. Хороший бэкап – хорошо протестированный бэкап (через установку на локальный веб-сервер). Вы когда-нибудь тестировали бэкап от своего хостинг провайдера?
  2. Что будете делать, если ваш хостинг обанкротится? Или всю информацию изымут правоохранительные органы на предмет запрещенного контента одного из ресурсов хостинга?

Вывод: создавайте свои бэкапы независимо от хостинг-провайдера (например при помощи Akeeba).

5. «Я нашел дешевый хостинг»

Реально найти такого хостинг-провайдера, который бы обеспечивал своих клиентов большим объемом пространства за один доллар/евро/фунт в месяц.

  1. При выборе хостинга обращайте внимание не только на цену, но и на качество, особенно в отношении безопасности. Это очень важно.  Посоветуйтесь с другими разработчиками на форумах и в сообществах.
  2. Выбирайте хостинг, который уделяет внимание на безопасности, в частности использует в своей работе suPHP.
  3. Убедитесь, что можете обновлять Joomla и ее расширения из административной панели.

Вывод: Скупой платит дважды, так что лучше убедитесь, что ваш хостинг предоставляет качественные услуги.

6. «Я скоро буду использовать это расширение»

Функционал Joomla  легко дополнить расширениями. Почему бы не установить как можно больше расширений, тем более они скоро мне пригодятся. Может, уже в следующем месяце.

  1. Установка всевозможных расширений наносит вред безопасности вашего сайта, ведь все эти расширения необходимо обновлять (об этом говорилось выше).
  2. Устанавливайте только то, что вам необходимо, без чего ваше ресурс не будет работать как вам хотелось бы. Удаляйте ненужные расширения (естественно только после создания бэкапа);

Вывод: устанавливайте только те расширения, которые вам необходимы в работе.

7. «Кажется, это нужное расширение»

Но я узнаю об этом только после установки и тестирования.

  1. Не делайте из сайта среду для тестирования;
  2. Тестируйте расширение сначала на копии сайта на локальном веб-сервере (к примеру, при помощи XAMPP).

Вывод: тестируйте сайт в специально подготовленной для этого среде, не на настоящем ресурсе.

8. Установка возможна только с правами 777

Установка расширений или загрузка изображений возможно только с разрешениями 777. Знаю, что это небезопасно, но я же сразу после установки исправлю разрешения на 755.

  1. Разрешение 777 очень небезопасно, даже если сделать их временно. Вы будете не первым и не последним, кто забудет их изменить.
  2. Перечитайте пятое заблуждение и поищите хостинг-провайдера получше.

Вывод: небезопасные разрешения даже на время небезопасны.

9. «Голова идет кругом от большого количества паролей»

Хорошо, я  понимаю необходимость использования разных паролей для разных сайтов. Я прилежно следую этому принципу, но пароли хранятся у меня в браузере или на FTP-клиенте.

Конфигурационный файл FTP-клиента типа FileZilla – это обычный текст,  и пароли хранятся там в незашифрованном виде. Хорошо известный вирус в Windows Троян ищет этот самый конфигурационный файл и посылает его злоумышленникам, чтобы те потом с успехом взломали ваш сайт.

Вывод: не храните пароли в незашифрованном виде.

10. «Я уже позаботился обо всем, что здесь указано»

Я уже выполнил все, что здесь упомянуто. Прекрасно! Но как-то не задумывался о HTTP, FTP и email-трафиках? Эти трафики незашифрованы, а значит логины и пароли передаются обычным текстом.

  1. Не используйте в работе открытую wi-fi несмотря на то, что это очень удобно. Помните, что все, что вы делаете, может быть отслежено другими пользователями этой сети.
  2. Даже если вы клиент защищенной сети ethernet, ваш траффик также незашифрован, а стало быть уязвим.  В сети ethernet все подключенные устройства «слушают» сеть и принимают только те пакеты с информацией, которые адресованы конкретно им. Поэтому существует вероятность того, что кто-нибудь начнет принимать все пакеты в сети.
  3. Форма входа Joomla уязвима, при входе передает незашифрованные данные, не использует в работе https.
  4. Используйте безопасные протоколы HTTPS (для браузеров), SFTP (для FTP) and TLS (для e-mail), а также SSH.

Вывод: интернет-трафик обычно не шифруется, поэтому логины и пароли могут быть перехвачены заинтересованными лицами.

Добавить комментарий

Комментарии  
0
ksu, спасибо за этот "чек-лист". Очень полезно пробежаться и сравнить всё ли в порядке. По себе так понял что самое небезопасное это отсутствие https на админках сайтов...
0
Спасибо за перевод. Многие как и я раньше не уделял внимание на безопасность сайта думал зачем мои сайты ломать они же не крупные итд. Когда в один не прекрасный день обнаружил что все мои сайты взломаны, это было уроком) Так что любой даже самый простой сайт может быть атакован.
0
2. «Обновлять?».
Я не обновляю сайт, потому что:

это не нужно из-за причин, указанных в первом заблуждении;
не могу сделать это сам;
я внес изменение в код ядра сайта и поэтому не могу обновить его;
..(по каким-то своим соображениям).
Все программное обеспечение может содержать ошибки (баги), причем не важно где оно функционирует – на компьютере или на сервере и что это: CMS типа Joomla! или расширение. Разработчики программного обеспечения регулярно выпускают обновления. Обновления, касающиеся безопасности, должны быть установлены незамеДлительно. К тому же, начиная с Joomla 2.5, устанАвливать обновления стало намного проще, в один клик. Многие расширения можно обновить из панели управления.

Вывод: важно обновлятьJoomla! и ее расширения.
0
Спасибо за полезную инфу, уважаемый Wedal! Но вот вопрос: насколько необходим переход с http на https для небольшого блога, на котором отсутствует регистрация пользователей, нет подписки на новости, не производится никаких расчетных операций и сбора пользовательских данных? У вас например http.
0
Александр, вообще - нет. Если у вас на сайте нет формы авторизации, то в адресной строке даже не будут показываться предупреждения. Но вообще Google сообщал, что наличие на сайте https будет являться дополнительным положительным фактором ранжирования. Так что переход на https в любом случае не будет лишним, особенно учитывая то, что сейчас некоторые хостинги предлагают SSL-сертификат бесплатно.
0
Здравствуйте. Обратил внимание, что вы все-таки перешли на протокол https. Скажите пожалуйста, нужно ли исправлять внутренние ссылки на относительные, как советуют в различных публикациях по данной теме, прежде чем осуществлять переход с http на https? Или достаточно настроить 301 редирект в htacess (будут ли корректно открываться ссылки в этом случае)? Как вы поступили?
0
Александр, хороший вопрос.

Чисто технически - можно просто сделать редирект 301 с http на https для всех страниц сайта. Всё будет работать. Делать такой редирект нужно в любом случае, т.к. исправить ссылки на ваш сайт с других ресурсов вы никак не сможете.

Если же говорить о восприятии редиректов поисковыми системами, то, вероятно, чем их меньше, тем проще поисковым системам индексировать ваш сайт. В идеале, стоит заморочиться изменением ссылок в статьях. Это проще всего сделать так:
1) Скачать дамп таблицы #__content базы данных вашего сайта
2) Открыть его с помощью продвинутого текстового редактора, например, Notepad++
3) С помощью функции замены найти и заменить все ссылки на относительные (просто заменить http://домен на пустоту),
4) Импортировать таблицу обратно.

Лично я, при переходе на https, просто настроил редиректы и указал информацию о переходе в панелях веб-мастеров Яндекса и Google. Всё прошло хорошо. Посещаемость осталась на прежнем уровне.
0
Спасибо за ответ! Еще маленький вопросик, насчет внутренних ссылок в статьях оформленных в абсолютном виде ( href="/index.php ?option=com_content&view=article&id=727" ). Их при переходе на https для seo-оптимизации лучше править на относительные, в транслите, или можно оставить как есть?
0
Александр, этот URL относительный. Абсолютный - тот, который включает в себя домен.
URL, который начинается с index.php - не-SEF URL.
URL, который состоит из букв, например /category_alias/page_alias.html - SEF-URL.
Соответственно, SEF и не-SEF URL может быть абсолютным и относительным.

Переформулируйте, пожалуйста, вопрос, с учетом этих терминов, а то пока непонятно, о чем вы спрашиваете.
0
Извините за некорректную формулировку предыдущего вопроса. В общем, меня интересует: какого вида ссылки предпочтительнее с точки зрения seo использовать для внутренней перелиновки - не SEF-ссылки или ЧПУ-ссылки?
0
Александр, SEF (ЧПУ) -ссылки практически всегда будут предпочтительнее.