Статьи и заметки о хостинге, доменах, сайтах и интернете в целом
Header

Продвинутые методы безопасности сайтов

Октябрь 15th, 2014 | Posted by admin in безопасность | сайты

Крепость Порт-АртурПосле того как WordPress (или другая кмс-ка) установлен, основные настройки сделаны и первоначальные данные размещены на сайте: плагины, основные страницы сайта, фото, видео и другие материалы, — самое время подумать о бзопасности сайта.

Вводный пост о мерах безопасности и осторожности можно прочесть здесь, а сейчас мы в продолжение его, рассмотрим более сильную защиту.

В последние время участились случаи, когда злоумышленники получают доступ к хосту посредствам дозаписи .htaccess файла, с целью развертывания на хосте скрипта спам-рассылки. То что данный вид атаки стал максимально широко использоваться подтверждают атаки, которые производили в течении этого года на сайты, размещенные у совершенно разных хостинг-провайдеров и практически все они были (в разное время) в итоге заражены. Что тут говорить проблема встала ребром.

В ходе различных испытаний, пришел в итоге к такой схеме, правда она будет работать только на хостинге с «широким» доступом, то есть на платном, так как на бесплатном все права по администрированию хостов урезаны, там вы можете пожаловаться лишь админам и надеяться, что они предпримут нужные меры.

И так, первое что нам нужно сделать это назначить права на .htaccess файл 444, то есть сделать его не изменяемым онлайн даже на стороне сервера (только чтение для всех). Однако данный файл мы можем всегда перезаписать полностью через ftp-доступ и тут важно предпринять все меры для недоступности пароля. Как минимум не делайте одинаковыми пароли ftp-клиента и MySQL-клиента, который хранится в открытом виде в конфиг файле wp-config.php (в случае с WordPress).

Далее огромным плюсом в безопасности будет наличие на хосте папок под каждый ваш сайт, обычно все дириктории размещаются в корне папок www или public_html на обычно платном хостинге такие настройки используются по умолчанию исключение могут быть на тарифных планах с 1 доменом/сайтом. Чтобы усилить нашу безопасность мы создаем еще один файл .htaccess, который размещаем на одном уровне с папками доменов, то есть в корне www или public_html.

htaccess

В самом файле нужно поместить следующие директивы:

Первой строкой мы запрещаем любой просмотр списка каталогов через web.
Далее командами files закрываем для всех доступ ко всем вложенным файлам .htaccess, в которых у нас прописаны правила для каждого конкретного сайта, и делаем их доступными только для нашего ip-адреса или как в примере для определенной подсети, если адрес у нас динамический.

Через прокси проверяем, чтобы сайты остались доступными для посетителей — обычных пользователей. Это, то что касается файловой защиты.

Второй момент, это специализированные плагины защиты для популярных cms. Возможно есть универсальный скрипт работающий со всеми cms, но если cms достаточно распространенная, то лучше не ломать голову над поиском сначала скрипта, а потом ещё и инстуркций к его использованию, а лучше обратится к хорошо документированным инструментам.

Для WordPress таким решением является плагин iThemes security. Использование данного плагина хорошо задокументировано и включает в себя очень много возможностей. Я лишь отмечу несколько основных, помимо бан-листов:

1) Enable File Change detection — защита от изменений. Вы будете получать уведомление на e-mail о каждом изменении файлов (работа базы данных с комментариями и постами не ограничивается). Нужно исключить из мониторинга log-файлы, файлы картинок и файлы-переводов .po .mo

2) 404 Detection — если сайт постоянно сканируется злоумыленником, то он генерирует большое кол-во сообщении об ошибках 404 «Страница не найдена». Данная опция заблокирует данный ip на указанное кол-во минут.

3) Enable brute force protection — данная опция аналогична предыдущей, но срабатывает когда генерируется большое кол-во неверных попыток на вход в админ-панель (брутфорс).

4) Enable the hide backend feature — чтобы кто не попадя не ломился в панель управления этот параметр переназначает адрес входа на любой выбранный, например http://site.ru/secret-panel

Также очень полезно поставить ограничение на длину и типы запросов в адресной строке браузера.

В общем как вы видите данный инструмент весьма серьезное подспорье для предупреждения несанкционированного доступа к сайту.

Оставить отзыв

Ваш e-mail не будет опубликован. Все поля кроме Сайт обязательны для заполнения.


   

 

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">