Как защитить свой сайт от вредоносного кода





Довольно часто в результатах поиска Яндекса можно увидеть предупреждение, что тот или иной ресурс небезопасный или содержит вредоносный код. Но и без этих сообщений, многие сайты действительно страдают от действий злоумышленников. Поэтому, мы хотим посоветовать несколько действенных правил, которые помогут избежать проблем с кодом, почти наверняка.

Как помешать злоумышленникам разместить вредоносный код на своем сайте

  1. Используйте надежное программное обеспечение.
    • Загружайте файлы веб-приложений и расширения/плагины для CMS из проверенных источников.
    • Регулярно обновляйте CMS и серверное ПО, следите за новостями об уязвимостях используемой CMS.
    • Регулярно проводите аудит безопасности серверов.
    • После установки CMS удаляйте установочные и отладочные скрипты.
  2. Используйте сложные пароли:
    • Не менее 11 символов и включает в себя буквы в разных регистрах, цифры, и специальные символы.
    • Не используйте одинаковые пароли для доступа к разным сервисам.
    • Меняйте пароли раз в три месяца, чтобы обезопаситься от случайной утечки.
    • Не сохраняйте важные пароли в веб-браузерах, файловых менеджерах, а также FTP-, SSH- и прочих клиентах. Лучше запишите в своем блокноте от руки.
  3. В целях профилактики проверяйте файлы сайта с помощью антивируса, например, есть антивирусная утилита Manul от Яндекса.
  4. Следите за своими личными компьютерами, из которых заходите в админку сайта.На всех компьютерах, с которых ведется работа с сервером должны быть установлены антивирусы с поддержкой регулярных обновлений. Также необходимо своевременно обновлять операционную систему и прикладные программы.
  5. Контролируйте права доступа пользователей, в частности, нужно обзавестись специальной защитой от межсайтовой подделки запросов (CSRF).Ограничьте доступ к панелям администрирования CMS и БД (например, phpMyAdmin), а также:
    • к резервным копиям кода;
    • к конфигурационным файлам;
    • к данным систем контроля версий (например, к каталогам .svn или .git).
  6. По возможности скрывайте версии серверного ПО (CMS, веб-сервера, интерпретатора сценариев, СУБД). Конечно, реально это не сможет защитить от профессиональных хакеров, но любителей отвадит.
  7. Настраивайте файрволы так, чтобы были разрешены только соединения, необходимые для работы.

Как не дать разместить вредоносный код пользователям сайта

Ваш интернет ресурс может быть самого разного характера, в том числе — когда посетители сайта могут загружать файлы или текст на ваш сайт, вредоносный код может оказаться в загруженном контенте (умышленно или случайно).

  1. Защищайтесь от ботов. Для защиты от роботов-взломщиков можно использовать специальные плагины к CMS или искать IP-адреса пользователей в черных списках.
  2. Проверяйте данные, которые могут ввести пользователи.
    • Не давайте возможности вставлять JavaScript-код внутри <script>, в тегах или ссылках. Отключите такую возможность в комментариях.
    • Создайте, так называемый, «белый список» разрешённых HTML-тегов, которые смогут использовать пользователи сайта. А все остальные запретите, чтобы они автоматически отбрасывались.

Как не разместить вредоносный код случайно

Иногда, вы сами можете навредить себе случайным образом, даже не подозревая об этом.

Поэтому, вот еще несколько правил «гигиены» при работе с сайтом:

  1. Будьте осторожны с рекламными блоками и кодом.
    • Вставляйте на страницы своего сайта только те рекламные блоки, которые были предоставлены проверенными рекламными системами.
    • Прежде чем подключить сайт к новой партнерской системе, ищите отзывы о ней и примеры распространяемого контента.
    • Избегайте «уникальных предложений» (подозрительно высокая плата за счётчики и блоки, монетизация мобильного трафика).
    • По возможности встраивайте на свои страницы статический контент (ссылки и картинки).
    • Не используйте партнёрские программы со скрытыми блоками.
  2. Доступом к сайту должны обладать только те, кому доступ необходим и пока он необходим.
    • Отзывайте доступ специалистов, выполнявших разовые работы, предыдущих владельцев, людей, не ответственных за работу сайта (например, специалистов по маркетингу или руководителей).
    • Привлекая к работе над сайтом посторонних людей, старайтесь получить какие-нибудь рекомендации. После окончания работ — отключайте их учетные записи или меняйте пароли.
    • Если ваш сайт — статический, некоторые партнёрские системы могут запросить доступ по FTP, чтобы самостоятельно менять баннеры. Крайне советуем избегать таких действий, ибо вы, фактически, отдаете ключи от своего сайта.
  3. Ищите надежный и качественный хостинг. Не все хостеры качественно обеспечивают безопасность своих серверов, а некоторые могут сознательно заражать сайты клиентов.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

  bigmir)net TOP 100  - .  E-mail: sitesnulyaru@gmail.com