У яхтсменов есть такое понятие как «хорошая морская практика» — если коротко, то это означает, что находясь на яхте нужно всегда чувствовать себя ближе к опасности.
Сегодня я хотел бы поднять такую острую тему как безопасность сайта. Тема является актуальной всегда, но к сожалению наиболее остро встает когда сайт уже взломан. Как и неопытный яхтсмен перевернув яхту при сильном порыве ветра спасается на надувном плоту, так и владелец взломанного сайта начинает суетиться после взлома, гуглить как восстановить данные и устранить последствия хакерской атаки, вылечить сайт от вируса или вредоносного кода. Надеюсь мои рекомендации добавят кому-нибудь несколько пунктов в безопасности. Помните — превентивные меры безопасности — лучшие меры.
Превентивные меры безопасности
1. Всегда делайте бэкап файловой системы и базы данных. Наиважнейшая задача. Лучше всего если вы сможете хранить бэкапы долго время, например, месяц. Хостинги не всегда предоставляют такие возможности, особенно если у вас простой тарифный план. Но вам никто не мешает скачивать периодически бэкапы себе на компьютер. Я делаю так: у меня на сервере бэкапы делаются раз в сутки и хранятся 10 суток. Но раз в месяц я скачиваю один бэкап на свою машину. Таким образом у меня всегда есть возможность развернуть один из десятидневных бэкапов, либо бэкап, сделанный месяц, два или три назад.
2. Всегда обновляйте CMS и ее составляющие (модули, плагины, темы), если вышло обновление. Почти каждое обновление новое обновление — это не только улучшение и новые примочку к вашему софту, но и устранение уязвимостей. Никогда не обновляйте CMS и другие модули вашего сайта через чужие компьютеры. Это довольно частый способ внедриться в вашу CMS.
3. Удаляйте все ненужные файлы со скриптами и плагины, которыми больше не пользуетесь. Ведь если вам не понравился установленный модуль, наверное он не достаточно хорошо, возможно и с безопасностью могут быть проблемы. Будьте внимательны при использовании модулей, разработанными третьими лицами. Даже если вы полностью доверяете вашей CMS, это не значит что можно устанавливать любые плагины. С помощью уязвимостей в плагине можно взломать CMS, а то и все ваши сайты.
4. Используйте по возможности защищенное соединение sftp или работайте только через ssh. Если вы не уверены в том, что компьютер с которого вы входите на сервер надежно защищен, не пользуйтесь ftp. Если вы пользуетесь файловым менеджером в CMS, рекомендую купить или найти бесплатный SSL сертификат для вашего сайта и работать только через протокол https.
5. Используйте только сильный пароли. Никаких «qwerty» и «123» в вашем арсенале быть не должно. Еще лучше используйте сгенерированные пароли, с использованием букв, заглавных букв, цифр, знаков препинания, и других символов. Если паролей 2 или 3 можно их запомнить, если их например 30, то нет смысла и пытаться, просто храните их защищенном месте, но с удобным доступом. Есть например вот такие менеджеры паролей, некоторые платные, некоторые нет: KeePass, eWallet, LastPass, 1Password. Меняйте пароли раз в 6 месяцев.
6. Никогда не используйте одинаковые пароли на разные аккаунты и сервисы. Частой ошибкой является использование одного пароля к ftp, ssh, mysql, а иногда и к почте и хостингу. Не нужно так делать. Этим вы упрощаете жизнь не только себе, но и злоумышленникам.
7. Если есть возможность используйте двух или трехуровневую проверку авторизации. Конечно не нужно доходить до параноидального режима и делать вход в админку трехстраничного сайта с посещаемостью 10 человек в месяц через смс подтверждение. Но для более серьезных сайтов это не плохой вариант. Как дополнительный уровень можно поставить пароль на директорию админки, создав файл .htpasswd с паролями и .htaccess с инструкциями. Кстати в этой же инструкции можно установить еще и разрешения входа только с конкретного ip. Но помните, что с другого ip вы и сами не зайдете в админку. Придется ломиться по ssh и отключать запреты.
Если уже взломали
1. Используйте сторонние сервисы для поиска вирусов. Есть множество сайтов, где предлагается проверить ваш сайт на вирусы просто введя адрес сайта в форму. Например, ресурс 2ip.ru имеет такой сканер, просто вводите в строе адрес и в случае обнаружения на нем вирусного кода вы увидите предупреждение.
2. Ai-BOLIT -сканер, который можно установить на сервер и найти файлы с вредоносным кодом. Нужен доступ по shh или можно воспользоваться терминалом, встроенным в sftp клиент, например winscp.net. Сканер может найти также и файлы со скриптами, похожими на вредоносными, но это могут быть абсолютно нормальные скрипты. Поэтому удаляйте файлы только если вы уверены в том что они посторонние. Также сканер будет находить файлы со встроенным вредоносом, то есть это будет рабочий, нужный файл, но в нем будет только фрагмент вражеского кода. Поэтому будьте внимательны, не удалите лишнего. Кстати, сканер хорошо находит коды ботнета.
3. Используйте аккаунты Googlq Webmasters и Яндекс Вебмастер для обнаружения вирусов и вредоносного ПО. Но помните, что эти сервисы далеко не всегда способны зафиксировать взлом.
Меры предосторожности
1. Используйте хороший антивирус на своем рабочем компьютере. Можно бесплатный, но платные надежнее.
2. Не посещайте сомнительные сайты, не качайте файлы с подозрительных источников.
3. По возможности не давайте пользоваться вашим рабочем компьютером своим родственникам, друзьям, соседям. Кто знает на какие варезные сайты их занесет.
