В прошлой статье "Как проник вирус на сайт" я рассматривал как бывают взломаны сайты. Именно для этого я расскажу, как предотвратить попадание троянов на сайт и как правильно настроить безопасность на сервере.
В первую очередь стоит проанализировать, какие потенциальные дыры могут быть на нашем сайте. Допустим, сайт недавно редактировался малоизвестным фрилансером. После выполнения всех обещанных работ нужно сменить все пароли, проверить нету лишних учётных записей на фтп, SSH или просто в админке. Однако на этой стадии не стоит расслабляться. Важно будет проверить сайт на наличие бэкдоров, и лишь тогда мы можем спокойно вздохнуть.
Далее посмотрим на установленные расширения на сайте. Хорошо если у нас продвинутая версия Wordpress, Joomla или других аналогов, у которых есть проверка обновлений и автоматическое обновление. Тогда задача по поддержке сайта намного облегчается. Другое дело, когда у нас старая версия, и проверять обновления и устанавливать придется вручную. Но и это не самый худший вариант. Намного хуже будет, если автор перестал поддерживать свой проект, а у него в компоненте критическая дыра. Но для того чтобы выявить такого рода уязвимости понадобится помощь специалистов безопасности. Заказать аудит сайта Вы можете прямо на нашем сайте.
На последней стадией защиты мы будем сводить к нулю возможность взлома сайта. Стоит проанализировать, через какие модули могут проникнуть вирусы на сайт, и такие опасные модули имеет смысл удалить. Если нам не нужно каждый день редактировать материалы на сайте, а вообще наш сайт статичен, то стоит деинсталлировать визуальные редакторы. Если нам нет необходимости в прикреплении файлов в формах обратной связи, следовательно надо подыскать вместо мощных компонентов более простой модуль отправки сообщений.
Теперь поговорим об общих приемах защиты сайта.
В папки images, css, upload, временные папки для загрузки файлов имеет смысл разместить файлы .htaccess с защитой от выполнения скриптов, к примеру с таким кодом:
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
RemoveType php
AddType application/x-httpd-php-source .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp
Директории, в которых мы не будем модифицировать файлы желательно защитить от записи. К ним обычно относятся файлы .htaccess, файлы шаблонов и конфигурационные файлы.
Вот такими легкими методами можно защитить сайт от постороннего вмешательства.