20 советов по защите сайта или блога от взлома

Каждый интернет-предприниматель знает об угрозе взлома сайта и потери важных данных. Но многие владельцы ресурсов пренебрегают правилами безопасности. Они думают, что хакеров интересует только крупная добыча, например, сайты крупных ритейлеров Target и Neiman Marcus, порталы органов власти или крупных СМИ. В действительности, каждый сайт подвергается опасности взлома. Хакеры могут атаковать ваш блог или корпоративный портал даже ради развлечения.

В этой статье вы найдете рекомендации, которые помогут вам уменьшить вероятность взлома сайта и связанных с этим потерь.

2014-01-24-2-01

Думаете, ваш сайт в безопасности?

Абсолютно надежных способов защиты сайтов от взлома не существует. Однако воспользовавшись нижеследующими рекомендациями, вы значительно уменьшите подверженность взлому вашего ресурса. Кроме того, вы полностью защититесь от непрофессиональных взломщиков. Чтобы не подарить сайт злоумышленникам, воспользуйтесь такими советами:

  1. Не используйте логин admin для входа в панель администратора сайта. Это первый вариант, который попробует пятиклассник Ваня, считающий себя начинающим хакером.
2014-01-24-2-02

Забыл ли я пароль? Нет, пароль admin, а что тут такого?
  1. Не используйте в качестве логина реальные имена и фамилии, а также публичные электронные адреса. Используйте логин, который не имеет отношения к вашему сайту и публичной деятельности.
  2. Создайте резервную учетную запись с правами администратора. Это необходимо на случай, если ваш админ уедет в отпуск, а вам придется быстро защищать сайт от атаки или восстанавливать данные.
  3. Следите за правами зарегистрированных пользователей. Не предоставляйте им права редактора или администратора без крайней необходимости.
  4. Лишайте пользователей административных прав и удаляйте их учетную запись в случае увольнения. Это актуально для крупных организаций, в штате которых работают десятки или сотни сотрудников. Обяжите отдел персонала уведомлять IT-службу об увольнении сотрудников и необходимости удалить их учетную запись.
  5. Не используйте в качестве пароля простые слова, комбинации цифр, имена, дни рождения.
  6. Не используйте один пароль для доступа к разным системам, например, к сайту, личной электронной почте и интернет-банкингу. Это особенно опасно, если ваш пароль легко подобрать.
  7. Не используйте общий пароль для всех сотрудников организации. В этом случае вам будет сложно контролировать безопасность сайта.
  8. Не используйте слишком сложные пароли, которые невозможно запомнить. В этом случае их придется записывать на бумагу. Например, некоторые люди вешают стикер с логином и сложным паролем на монитор компьютера, а потом жалуются на ужасных хакеров. Если вы все же записали пароль в блокнот, храните его в доступном только вам месте.
2014-01-24-2-03

Хакеры не найдут пароль. Они не догадаются подержать стикер над огнем
  1. Используйте надежный пароль. Используйте в кодовом слове комбинацию больших и маленьких букв, цифр, специальных символов. Если вы боитесь забыть пароль, придумайте короткую фразу, транслитерируйте ее и используйте без пробелов в качестве кода доступа. Например, фраза «я люблю летать на Сатурн» в качестве пароля будет выглядеть так: yalyublyuletatnasaturn. Этот пароль легко запомнить. Думаете, не вы один любите летать на Сатурн? Усложните пароль: Yalyublyule_tatnasaTurn48. Или так: Nasaturn_s_lenkoi_letatlyublyu.
  2. Следите за безопасностью в сети. Не давайте сторонним сайтам или сервисам доступа к вашему ПК.
  3. Регулярно изменяйте пароль от сайта. Делайте это каждые 90 дней, даже если вы уверены, что кодовое слово находится в безопасности. Ваша уверенность не защищает от возможности кражи пароля.
  4. Не отправляйте логин и пароль от сайта с помощью электронной почты. Если у вас нет другого выхода, отправьте пароль и логин с разных ящиков. Попросите получателя удалить письма после прочтения. Не пишите в теме письма слов «пароль», «логин», доступ к сайту» и т.п.
  5. Отправляя пароль с помощью электронной почты или мессенджера, убедитесь, что общаетесь с одним человеком. Например, проверьте, не отправляете ли вы кому-нибудь копии письма с паролем.
  6. Немедленно меняйте пароль и логин от сайта, который известен посторонним лицам. Например, если вы наняли на разовую работу программиста и дали ему доступ к административной панели, измените кодовое слово после завершения сотрудничества.
  7. Добавьте ресурс в сервисы «Яндекс.Вебмастер» и инструменты для веб-мастеров Google. В этом случае вы быстро узнаете о появлении на сайте вредоносного кода. Заранее подготовьтесь к необходимости экстренного восстановления сайта. Запишите телефон и электронную почту хостинг-провайдера, подумайте, какие каналы вы сможете использовать для общения с клиентами до восстановления ресурса.
  8. Регулярно создавайте резервные копии сайта или блога. Используйте для этого штатные средства CMS или дополнительные плагины. Храните резервные копии в надежном и доступном месте.
  9. Заранее узнайте, как восстанавливать данные с помощью резервных копий. Или убедитесь, что у вас есть контактные данные специалистов, которые помогут решить соответствующий вопрос.
  10. Регулярно обновляйте программное обеспечение. Это касается CMS, серверного программного обеспечения, плагинов для популярных блог-платформ и т.п.
  11. Защищайте сайт от взлома методом полного перебора. Для этого используйте CAPTCHA или программы, ограничивающие возможность входа в административную панель после нескольких неудачных попыток.

Описанные рекомендации защитят вас от хакеров-любителей, которые взламывают ресурсы ради спортивного интереса. Также соблюдение советов уменьшает вероятность потери сайта в результате направленных атак.

А как вы защищаете сайт или блог от взлома?

Адаптация материала 20 Actionable Security Tips To Keep Your Site Safe by Heidi Cohen.