Создание сайтов. Как обезопасить сайт .

   • Перво-наперво сайт должен быть спроектирован с учетом нужд безопасности. Если его писал на коленке школьник, испытавший головокружение от первых успехов в освоении PHP, то код будет дырявым как решето. Нужно, чтобы веб-проект создавал человек, ставящий информационную безопасность во главу угла. Например, понимающий, как важно тщательно проверять cookies авторизующегося пользователя, контролировать HTTP– и GET-запросы и т. д.

   Пусть одним из критериев выбора веб-разработчиков для вас будет их компетентность в вопросах интернет-безопасности. А если вы намерены создать крупный веб-проект, тем более интенсивно работающий с персональными данными пользователей (не говоря уж о финансовых онлайн-сервисах), резонно будет обратиться за консультацией в компанию с высокой концентрацией экспертов по инфозащите. Например, Positive Technologies (http://www.ptsecurity.ru).

   • Выбирайте надежный хостинг. От качества хостинга и спектра оказываемых им услуг зависит очень многое. Изучайте отзывы о компаниях, об их политике в разрешении вопросов со взломами и заражением сайтов.

   • Бдительно относитесь к паролям. Ключи доступа к администраторской зоне сайта, FTP-серверу, панели хостинга должны быть достаточно сложными и длинными, не менее 11–12 символов, и чем разнообразнее по составу символов, тем лучше; отдельные слова из общей лексики не годятся. Понятное дело, совершенно немыслимы связки «логин – пароль», используемые во многих системах по умолчанию, например классическое admin для обоих полей. Грубая ошибка – использовать один пароль на все случаи жизни. Еще грубее – не ме нять пароли несколько раз в год (лучше со строго заданной периодичностью, чтобы это вошло в привычку).

   Не храните логины и пароли в файлах на компьютерах, с которых работаете, в почте и в FTP-менеджерах. И конечно, не держите их на виду трогательно написанными на бумажке. Не ленитесь каждый раз вводить эти две комбинации знаков заново, решительно отвергая предложения браузера запомнить их.

   • Будьте вдвойне осторожны при использовании сторонней CMS. Многое зависит от того, насколько она популярна и кем курируется. Следует регулярно обновлять движок. Кстати, желательно скрыть от посторонних глаз упоминание о версии системы и ее плагинов: многие взломщики, особенно начинающие, последовательно выискивают CMS конкретных редакций, поскольку знают, что в них еще не закрыты определенные уязвимости.

 

   Тщательно проверяйте «родословную» движка и каждого устанавливаемого дополнения к нему. Ни в коем случае не соблазняйтесь взлома нными версиями коммерческих CMS. Скачивайте дистрибутивы только из источников, которым всецело доверяете.

   Вообще, предпочтительно использовать минимум внешних плагинов и модулей: часто бреши кроются именно в них. Инсталлировав движок, не забудьте удалить установочные и отладочные скрипты.

   При работе со многими CMS (особенно WordPress и Joomla) нелишним будет убрать страницу входа в административную зону со стандартного места.

   • С железной периодичностью делайте резервные копии сайта (бэкапы). Само собой, не только файловой системы, но и баз данных. Советуем не полагаться на то, что сделанные хостером бэкапы будут у него в целости и сохранности (мало ли что случится с его дата-центром). Сохраняйте их не на одном носителе. Оптимально, если используются внешние накопители: в конце концов, ваш домашний и рабочий компьютеры не ограждены на все сто процентов от заражения и взлома.

   • Используйте свежие, ре гулярно обновляемые лицензионные антивирусы. На всех компьютерах, с которых осуществляется подключение к административной зоне сайта. А также на самом сайте (см. далее по тексту).

   • Закрывайте любые соединения после того как они перестают быть вам нужны. Чаще всего, вероятно, вы будете иметь дело с загрузкой файлов на сервере по протоколу FTP. Так вот, «залили» документ – отсоединились. Лишние, не используемые вами в работе соединения закройте через настройки файервола и сетевую инфраструктуру.

   • Используйте защищенные протоколы SFTP и SSH.

   • Контролируйте права доступа к конфигурационным файлам, административной зоне и другим критически важным частям сайта. Чтобы потом не вздыхать: «Слона-то я и не заметил». Четко выделяйте группы пользователей и разграничивайте права каждой.

   • Следите за конфигурацией программного обеспечения на веб-сервере. В случае с Apache повышенное внимание уделяйте. htaccess (см. блок «Полезно знать»).

   • Анализируйте лог-файлы, ведущиеся на сервере. По ним, обладая определенными навыками, легко отслеживать попытки взлома.

  • Сотрудничайте только с проверенными рекламными платформами. В противном случае, размещая у себя на сайте рекламный блок неизвестной системы для открутки баннеров, вы рискуете сами распахнуть двери злоумышленникам.

   • Используйте сервисы – сканеры уязвимостей. Metasploit Framework (http://www.metasploit.com), Tenable Nessus (http://www.tenable.com/products/nessus), XSpider (http://www.ptsecurity.ru/xs7/concept/), Zed Atack Proxy (https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project) – в числе самых известных из них. Часть из них сравнительно проста в эксплуатации, часть же, например Metasploit Framework, проявит всю свою мощь только под присмотром красных программистских глаз.

   • Проверяйте файлы сайта на вирусы. Например, с помощью следующих систем: www.unmaskparasites.com, http://vms.drweb.com/online/, www.2ip.ru/site-virus-scaner/, www.antivirus-alarm.ru/proverka/.

   • Пусть ваши технические специали сты изучают конкретные типы уязвимостей и предусматривают защиту от них. Да, от того, что кроется за страшными аббревиатурами LSI и XSS, можно защититься, поскольку выработаны эффективные методы обороны от них. Киберпреступников целая армия, но им противостоит не менее, а то и более серьезная армия, состоящая из компаний и команд со специализацией на информационной безопасности и независимых веб-разработчиков.

   И веб-разработчики, и администраторы проекта должны уметь смотреть глазами злоумышленника. Не грех им задуматься, как бы они сами попытались взломать сайт.

   • Регулярно проверяйте сайт на вшивость сами, с помощью своих технических специалистов. Кроме того, совершенно оправданно привлечение сторонних тестировщиков на платной основе, в первую очередь перед полноценным запуском сайта. Целые орды желающих «попинать Веб» бродят, скажем, на forum.antichat.ru. Немало их и на Fl.ru (ранее Free-lance.ru). В данном случае тройное внимание уделяйте отзывам о работе таких специалистов, их реноме. Гораздо лучше, если вам лично, по сарафанному радио, порекомендуют одного такого умельца или даже команду.

   Не забывайте о тестировщиках, единожды воспользовавшись их услугами. Уверяем, они вам еще понадобятся. Даже если вы будете годами развивать один только сайт, его регулярно потребуется шерстить на предмет уязвимостей. Пусть у вас в Skype или другом средстве электронной коммуникации будет создана отдельная группа – «Тестировщики» (рис. 40).

 

 

   • Проштудируйте раздел «Как защитить сайт от заражения?» в справке службы «Яндекс. Вебмастер». И возьмите на вооружение все рекомендации из нее. Таким образом вы убережете себя от многих опасностей.

   • Непременно подключите сайт к «Яндекс. Вебмастеру». Когда «Яндекс» обнаруживает признаки заражения на ресурсе, он оперативно подает сигнал. Вычистив вредоносный код, вы сможете воспользоваться функцией «Перепроверить», чтобы удостовериться в успехе санитарного мероприятия.

 

   Полезно знать

   «Как сделать сайт безопасным и почему это важно для продвижения»: http://seopult.tv/programs/conference/yandex_kak_sdelat_sayt_bezopasnym/

   Справка службы «Яндекс. Вебмастер» (см. раздел «Безопасность сайта»): http://help.yandex.ru/webmaster/

   Портал о компьютерной безопасности SecurityLab: http://www.securitylab.ru

   «Стандарты безопасности при разработке интернет-сайтов и веб-приложений (OWASP)»: http://www.siteprojects.ru/blog/?p=1391

   Open Web Application Security Project (стандарты веб-безопасности): https://www.owasp.org

   «Профилактика SQL-инъекций»: http://habrahabr.ru/post/87872/

   «Типы XSS- уязвимостей»: http://wiki.auditory.ru/Типы_уязвимости_XSS

   «Попытка номер раз создать почти идеальный. htaccess»: http://habrahabr.ru/post/154643/

   «Рассылка SeoPult. Выпуск № 85: пути решения проблем с вредоносным кодом на сайте»: http://seopult.ru/subscribe.html?id=85

   «Как вылечить зараженный сайт» («Яндекс. Помощь»): http://help.yandex.ru/webmaster/?id=1116613