Статьи, обзоры, советы, практика по Joomla!

10 аргументов угрожающих безопасности сайта

Никто не хочет, чтобы сайт взломали. Каждый второй владелец сайта игнорирует стандартные меры безопасности. Мы расскажем о том, как защитить сайт от «хакеров» («крэкеров»). Крэкинг - несанкционированное проникновение на веб-сайт, чтобы делать вещи, которые не позволил бы владелец сайта. Поэтому крекинг часто называют «взломом».

Не хакнут! Не хакнут!

1. «Безопасность важна для крупных, авторитетных сайтов»

Ваш веб-сайт небольшой (сайт-визитка) и на него приходит не много посетителей. Вы не владеете интернет-магазином и не обрабатываете транзакции по кредитным картам. Таким образом вы думаете, что сайт не так интересен для хакеров, которые, как правило нацеливаются на корпоративные веб-сайты.

Это не так. Каждый веб-сайт и веб-сервер интересен для преступников. Они используют автоматизированные скрипты, которые не отличают важность и размер веб-сайта. Хакеры взламывают сайты по нескольким причинам:

  • Порча информации, цифровые граффити или политически ориентированных сообщения на сайте;
  • Фишинг - установка скриптов для сбора паролей и данных кредитных карт посетителей;
  • Спам - рассылки спама электронной почты;
  • Распространение вирусов и "троянских коней";
  • Включение в ботнет (сеть взломанных компьютеров, которые дистанционно управляются и используются преступниками для распределенных DDOS атак.

* Каждый сайт интересен для хакеров!

2. «Обновление»

Вы не регулярно обновляете сайт, потому что:

  • Вы думаете, что это не важно (см аргумент #1);
  • Вы не сделаете это самостоятельно;
  • У вас используются некоторые доработки скриптов и поэтому вы не можете обновиться;
  • ... (вставьте собственные оправдания здесь).

Скрипты и ПО как правило содержат ошибки. Как правило разработчики скриптов предоставляют регулярные обновления. Патчи, которые регулярно выходят из-за проблем безопасности, лучше устанавливать сразу. С Joomla 3, обновление стало намного проще с функцией одной кнопки. В Joomla 3 поддерживается автоматическая проверка и обновление из панели управления сайта.

* Обновление Joomla CMS и установленных расширений важно!

3. «Я нашел скрипты в Интернет»

Вы скачали расширение или шаблон с интересного сайта. Или вы скачали коммерческое расширение с бесплатного сайта файлообмена, только для того, чтобы проверить функционал перед покупкой. И после того как вы закончили тестирование оформили покупку.

Запомните, скачивать скрипты нужно только у оригинального разработчика! Это единственный способ, чтобы свести к минимуму риск получить поддельные скрипты.

Платные расширения или шаблоны, которые закачиваются бесплатно с сайтов обмена файлами часто содержат скрытый код. Иногда они добавят нежелательные скрытые ссылки спама, а в других случаях содержат бэкдоры, которые хакеры используют, чтобы легко получить доступ к сайту. Не используйте коммерческие скрипты из свободных источников для тестирования. Хакеры не ждут вас, пока вы закончите с тестированием.

* Скачивать и устанавливать скрипты только из оригинальных источников.

4. «Хостинг-провайдер уже делает бэкапы»

И они делают это регулярно, так почему бы вам не делать резервные копии?

Рабочая резервная копия, это протестированный бэкап (установите копию на локальный веб-сервере для проверки работоспособности). Когда вы в последний раз тестировали резервную копию сайта хостинг-провайдера?

Что делать, если веб-хостинга вдруг стал «банкротом»? Или, если сервер конфискован: ФСБ, КГБ, ФБР, IRS или другим государственным органом? Только потому, что другой клиент хостинга на одном сервере с вами хранил незаконные материалы на своем веб-сайте.

* Регулярное резервное копирование, храните копии у себя, вне сервера.

5. «Я уже нашел дешевый хостинг»

Вы нашли дешевой веб-хостинг с мега-много гигабайтами пространства для веб-сайта за один доллар/евро/рубль в месяц.

Смотрите не только по цене хостинга. Качество в отношении безопасности очень важно. Посоветуйтесь с другими пользователями сообщества или с вашим разработчиком Joomla! сайта, почитайте отзывы на специализированных форумах, ознакомьтесь со статьями.

Выбирайте хостинговую компанию, которая фокусируется на безопасности. Например, они используют suPHP на своих серверах.

Убедитесь, что вы можете легко обновить Joomla и расширения сторонних разработчиков из панели администратора (если это не возможно, меняйте хостинг).

* Дешевое в последствии окажется дорогим, поэтому позаботьтесь о безопасном хостинге.

6. «Я буду использовать это расширение в ближайшее время»

Вы можете легко расширить функционал Joomla используя сторонние расширения. Почему бы вам не установить полезные расширения, которые вам понадобятся в ближайшее время?

Установка дополнительных (не используемых) расширений грозит двойными неприятностями. Чем больше вы установите расширений, тем чаще нужно обновляться (см 2).

Установите только те расширения, которые вы используете. Удалите неиспользуемые расширения (после создания резервной копии).

* Используйте только те скрипты и расширения, которое вы используете.

7. «Это, кажется, полезное расширение»

Но вы это узнаете, что только после установки и тестирования расширения.

Не используйте рабочий веб-сайт как тестовый.

Проверьте новые расширения сначала в тестовой среде, на копии сайта, установленного локально (с XAMPP).

* Тестируйте скрипты в тестовой среде, а не на работающем сайте.

8. «Установка возможна только с правами 777»

Установка расширений или загрузки изображений можно только установив разрешение папки на 777. Вы знаете, что это небезопасно и думаете установить разрешения обратно на 755 после загрузки.

Права 777 небезопасны, даже если вы установите их временно. Вы не первый, кто забудет включить обратно права на 755 и сайт взломают.

Перечитайте пункт №5 («Я уже нашел дешевый хостинг») и выберите другую хостинг-компанию.

* Опасные разрешения на запись, даже для временного использования, небезопасны.

9. «Я схожу с ума от количества паролей»

Вы знаете, что с точки зрения безопасности используют разные пароли. Очень хорошо! Но храните эти пароли в браузере и FTP.

Файл конфигурации программ FTP (такие как FileZilla) - текстовый файл и пароли хранятся в не зашифрованном виде. Вирус или троян для Windows ищет файл конфигурации FileZilla и отправляет данные к преступникам.

* Не храните не зашифрованные пароли

10. "Я уже позаботился об указанном выше"

Итак, вы осведомлены о вопросах безопасности, упомянутых выше. Тем не менее, вы думаете о HTTP, FTP и почтовом трафике? А это передача данных в не зашифрованном виде! Имена пользователей и пароли передаются через Интернет в виде текста.

Не используйте открытые сети Wi-Fi, они только для подключения к Интернет. Помните, все что вы делаете, может контролироваться другими, теми, кто в той же сети.

Даже на «безопасном» Ethernet не зашифрованный трафик перехватывается. В сетевом протоколе Ethernet, подключенные устройства прослушивают все проходящие пакеты данных и используют только те, которые адресованы им. Но это не останавливает людей, которые захотят прослушать все пакеты данных («сетевой трафик снифят»).

Без HTTPS форма авторизации посылает данные в не зашифрованном виде (через веб-сайт или раздел администратора).

Используйте безопасный протокол HTTPS (для браузеров), SFTP для FTP, TLS для электронной почты и SSH.

* Не зашифрованные имена пользователей и пароли могут быть перехвачены.

  • Доработка сайтов
  • от 700 ₽
  • Доработать, заменить, прикрутить, переделать, адаптировать, настроить, подготовить, провести, внедрить, убрать, внести ...
  • ЗАКАЗАТЬ
  • Обновление Joomla!
  • от 1500 ₽
  • Миграция Joomla 1.5.x ➟ 3.6.x
  • Обновление Joomla 2.5.x ➟ 3.6.x
  • ЗАКАЗАТЬ
  • Очистка от вирусов
  • от 2 500 ₽
  • Удаление вредоносных скриптов, вирусов, троянских коней, руткитов и других кодов.
  • Удаляем предупреждения от поисковиков.
  • ЗАКАЗАТЬ
  • Защита от взлома
  • от 1 200 ₽
  • Защита Joomla сайта от взлома и заражения вредоносным кодом.
  • ЗАКАЗАТЬ