Минимальные действия по безопасности, могут защитить от больших потерь

2013-09-12
4.5 / 5 (2 голоса)

Последние годы все больше и больше сайтов взламывают и используют их как рассадники спама. Атакуют все сайты без разбора, будь то самописный, либо на какой-либо CMS. Сегодня я вам опишу как обезопасить свой сайт с минимальными познаниями, на примере CMS Joomla


Прежде всего хотелось бы заметить, что не существует полностью защищенных сайтов, есть просто хорошо спрятанные уязвимости. В данном случае сайт, можно сравнить с машиной, если у машины установлена сигнализация, мультилок и другие дополнительные защиты, то это как минимум обезопасит от воров "школьников". Точно так же и с сайтами, если предпринять хотя бы минимальные действия по безопасности, можно обезопасить себя от "хакеров-школьников", которые прочитав на форуме подробное описание по взлому, сразу идут искать сайты с только что прочитанной уязвимостью.

Также есть более продвинутые "хакеры-спамеры" - данная категория более продвинута и зачастую они используют скрипты по автоматическому поиску сайтов с уязвимостью.

"Всё это хорошо, но где же эти минимальные действия?" - скажите вы, вот они...

Скрытие следов CMS

Одно из самых простых, но очень нужных действий - это спрятать следы вашей системы, её название, версию. Для примера на всех страницах CMS Joomla, если посмотреть код страницы, виднеется фраза "Joomla! - Open Source Content Management".

Задав данную запись в гугл, "хакерам" выдаются все сайты, которые используют систему CMS Joomla, для того, что бы ваш сайт не попал в данный список, необходимо вставить лишь одну строчку в файл index.php вашего шаблона (templates\название_шаблона\index.php).

<?php $this->setGenerator(null); ?>

Закрытие административной части

Данный пункт также один из важнейших, так как большинство административных страниц не имеют защиты от подбора паролей. Для того, что бы ограничить посторонним доступ в админку сайта, необходимо создать файл .htaccess с содержимым

Order Deny,Allow
Deny from All
allow from 127.0.0.1

Однако вместо ip 127.0.0.1 вы должны вписать свой ip. Для того, что бы его узнать, достаточно зайти, например, на сайт myip.ru Если вам необходимо предоставить доступ нескольким людям, тогда нужна добавить ещё одну строчку

Order Deny,Allow
Deny from All
allow from 127.0.0.1
allow from 127.0.0.2

После чего данный файл необходимо поместить в директорию, которую вы хотите закрыть от посторонних, например в administrator/.htaccess

Запрет запуска посторонних файлов

Продолжая тему защиты директорий, необходимо создать ещё три файла .htaccess которые запрещают напрямую запуск файлов, в которых могут содержаться вирусы.

Защита папки cache

Order Allow,Deny
Deny from all
<Files ~ ".(jpe?g|mp4|flv|png|doc|docx|xls|xlsx|bmp|BMP|gif|ai|swf|zip|css|avi|ico|mpg|JPE?G|GIF|PNG|js)$">
Allow from all
</Files>

Защита папки images

Order Allow,Deny
Deny from all
<Files ~ ".(jpe?g|mp4|flv|png|doc|docx|xls|xlsx|bmp|BMP|gif|ai|swf|zip|css|avi|ico|mpg|JPE?G|GIF|PNG|js)$">
Allow from all
</Files>

Защита папки tmp

Options -Indexes
php_flag engine 0
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType text/plain .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

Вот в принципе и всё! Рассказывать, что означают эти записи не буду, можете почитать о них в гугле. Но выполнить все пункты, описанные выше, на 50% вы обезопасите свой сайт.

Если ваш сайт, все же взломали, обращайтесь. Помогу быстро и главное качественно вылечить ваш сайта, а также закрыть все уязвимые места на будущее.

Прочитано 1421 раз Последнее изменение 2015-10-17

Оставить комментарий

Все поля отмеченные (*) обязательны для заполнения