Защита сайта от «вражеских» действий

Защита сайта от «вражеских» действийДоступность и простота создания ресурсов, толкает простого пользователя на создание своего личного сайта. Ну, чтобы в дальнейшем не возникало никаких проблем, необходимо заранее побеспокоиться о своей безопасности. Имеется в виду различные вирусы, хакерские программы, которые не только могут привести ваш сайт к потере данных, но и лишить вас контроля над ним.

Цель злоумышленников – это добыть администраторский логин и пароль. Для этого и пишутся всевозможные вирусы (трояны), программы, которые автоматически подбирают пароль (брутфорсы). Еще используются уязвимости кода, на котором собственно и написан сам сайт (PHP, JavaScript и др.). Для каждой из этих угроз методы защиты индивидуальны, поэтому рассмотрим каждый случай по порядку.

Целью троянской программы является похищение паролей. Эта программка маскируется под обычную полезную программу, но в случае запуска начинается поиск учетных данных и в случае нужной находки все это отправляется хозяину троянской программы на почту. Вот поэтому ни в коем случае не храните свои регистрационные данные в различных FTP-клиентах, которые используются для соединения, и чаще обновляйте новыми базами свой антивирус. Также не нужно скачивать программы из ненадежных ресурсов.

Что касается использования брутфорсов для подборки паролей, то применение задержки при вводе логина и пароля в администрацию хотя бы в 1-2 секунды, делает его  бестолковым, а если еще установлена капч проверка, то вообще невозможным. Пока. на данный момент, нет такой программы, которая могла бы расшифровывать искаженный текст в картинке. Все эти действия  хорошо бы применить к вашему форуму. Когда будет происходить регистрация пользователей, капча не даст регистрировать автоматическим программам новых пользователей, а установка задержки поможет предотвратить спам. Но в этом случае задержку нужно выставлять немножко длиннее и подбирать индивидуально.

В базах данных хранится пользовательская и другая различная информация. Именно кража пароля администратора возможна с помощью специально сформулированного SQL-запроса. Возможность этого способа кражи обеспечивает доступность пользовательских полей на стороне клиентского ПК, а также позволяет производить произвольные команды в самой системе. Чтобы избежать таких неприятностей, необходимо установить защиту, которая предотвращает набор специальных символов для взлома искомой базы данных. Тут уже необходимо обратиться за помощью web-специалистов, которые настроят саму базу данных, а также напишут индивидуальную защиту, которая у каждых сайтов разная из-за различных языков программирования.

Также CMS (система управления сайтом) кроме уже известных SQL-инъекций, может быть подвержена хакерским атакам, которые используют уязвимость кода (межсайтовый скриптинг, PHP-инъекции и.т.д.). Но существуют также различные CMS, которые написаны на различных языках, в таком случае правила по защите могут быть сугубо общими.

Старайтесь скачивать CMS и расширения для них только из официальных источников. Иначе вы рискуете скачать программу, в которой уже присутствую вредоносные участки кода, способные взломать ваш сайт. Расширения используйте самые последние, а как только будут появляться новые, сразу же обновляйте. То, что не используете: модули, плагины, шаблоны и компоненты CMS, сразу полностью удаляйте.

Устанавливайте только самые современные антивирусы и постоянно обновляйте их базы. Создавайте резервные копии ваших сайтов со всеми базами данных на локальном компьютере. Это вам поможет не только уберечься от собственных ошибок при редактировании сайта, но и от различных хакерских атак. Также это позволит в случае чего в кратчайшие сроки восстановить ваш сайт.


No Comments »

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a comment

Copyright © 2018 Hack NET Portal – новости IT безопасности.