У всех нас есть выбор — расхлебывать последствия своей небрежности или же озаботиться сохранностью своего интернет-ресурса еще до того, как с ним успело случиться что-то плачевное.
И в первую очередь следует выделить ключевые сферы, образующие своим сочетанием то, что мы называем «безопасностью сайта». Их всего три:
- Хостинг (или же серверная часть)
- Программная часть (движок сайта, скрипты, прочие расширения функционала)
- Администрирование сайта (должный уровень подготовки и аккуратности лиц имеющих доступы к сайту)
Провал хоть по одному из вышеописанных пунктов грозит Вашему ресурсу серьезными проблемами в будущем. Справедливо и обратное утверждение — качественная и своевременная работа с потенциальными угрозами по каждому из направлений обеспечит должный уровень безопасности сайта.
Теперь обсудим все подробнее.
Защита серверной части сайта (хостинга)
Прежде всего следует знать на каком хостинге лежит сайт Вашей компании — выделенном или же общем.
В случае использования общего (shared) хостинга ответственность за безопасность сайтов лежащих на нем будет нести администратор хоста.
Если же у Вас выделенный сервер (dedicated), то и вся ответственность лежит на его владельце.
В любом случае следует проконтролировать, чтобы на стороне сервера были запрещены к выполнению все действия, которые не относятся непосредственно к обеспечению работоспособности сайта. Если у нашего интернет-ресурса не используются системные вызовы, то они должны находиться в отключенном состоянии. Если мы не используем подключения к внешним серверам, то и опции внешних соединений должны быть отключены. Не забываем также о том, что видимость файлов лежащих на хосте и используемых скриптов также должна быть ограничена.
Не спешите пугаться, если вышеперечисленные советы кажутся вам китайской грамотой. Мы не спроста сначала уточнили кто отвечает за безопасность сайта на серверной стороне. О всех подобных нюансах должны заботиться администраторы серверов.
Так, мы плавно подошли к вопросу о том, на что следует обращать внимание при выборе общего хостинга - обязательно убедитесь, что хостинг-провайдер дает возможность персональной (под каждый аккаунт) настойки php и веб-сервера.
Также не стоить экономить при выборе специалиста следящего за сервером в случае использования выделенного сервера. Действительно опытный администратор без проблем справится с задачами ограничения видимости скриптов на сервере, организацией системы резервного копирования ресурса, проследит за отладкой механизмов контроля целостности файловой системы.
Обеспечение безопасности программной части сайта
К этой сфере мы относим непосредственно CMS или же различного рода скрипты на которых функционирует Ваш сайт.
Основным критерием надежности в этой области является отсутствие уязвимостей кода, за счет которых вашу систему можно «хакнуть».
Это легко сказать, но, к сожалению, далеко не так просто достичь подобного на практике. В большинстве существующих сегодня систем управления контентом есть подобные уязвимости, которые хоть и исправляются с выходом каждой следующей версии, но по- прежнему остаются значимой проблемой.
Тем не менее НИКОГДА НЕ СЛЕДУЕТ ПРЕНЕБРЕГАТЬ ОБНОВЛЕНИЯМИ ВАШЕЙ CMS. Это очевидное решение проблемы хоть и не гарантирует полной защищенности Вашего сайта, но вполне способно уберечь его от целого моря проблем.
В случае же использования на сайте самописных скриптов нужно как минимум проверять их на уязвимость в сервисах по типу XSpider-а или же Acunetix Web Vulnerability Scanner-а. При нахождении уязвимости не забываем их устранять.
Также на обеспечение безопасности сайта влияет его конфигурация:
- Корректно настроенные права доступа к файлам и директориям
- «Внутренности сайта» должны быть закрыты для свободного доступа к ним
- В областях для хранения загруженных файлов должен действовать запрет на исполнение скриптов
- Используйте все возможные меры защиты входа в панель администратора, вплоть до ограничения IP имеющих к ней доступ.
Грамотное администрирование ресурса
Как ни очевиден этот пункт, а на практике мы постоянно сталкиваемся с тем, что именно он в большинстве случаев становится первоисточником всех проблем с использованием сайтов. Даже при «полном феншуе» по первым двум пунктам.
Итак, для сохранения Вашего сайта в добре и здравии при работе с ним пользуйтесь следующими советами:
- Не экономьте на покупке антивирусного ПО для компьютера с которого производится администрирование сайта. И всегда следите, чтобы у Вас стояла актуальная версия обновлений антивирусной базы данных. При этом как минимум раз в месяц следует делать полную проверку машины на вирусы.
- Регулярное обновление паролей от ftp/ssh клиентов спасает от ряда проблем. Также я думаю даже не стоит упоминать, что используемые Вами пароли должны быть максимально сложны (под сложным паролем мы понимаем пароль минимум из 8 символов с использованием различных спецсимволов и разного регистра букв, по типу vR%gw^bwF).
- Сохранение паролей в различных программах (фтп-клиентах, браузерах и тд) часто становится причиной утери сайта. Задумайтесь над этим фактом.
- В работе используйте безопасный протокол связи (SFTP или SCP).
Подводя итоги
Для того, чтобы «проморгать» свой сайт достаточно банальной небрежность хоть по одному из пунктов перечисленных выше. Защитить сайт безусловно сложнее, но затраты на заблаговременную защиту сайта и восстановление ресурса в случае его взлома несопоставимы.
Причем обеспечивать безопасность сайта необходимо на всех этапах его создания и функционирования начиная от выбора хостинга и заканчивая грамотной его эксплуатацией.