Возможные проблемы и решения по безопасности сайта

Основы безопасности сайта базируются на трех аспектах:

• Безопасность скриптов, CMS, программного обеспечения


• Безопасность хостинга или сервера


• Грамотности, аккуратности в плане безопасности администрации проекта

Если все это организовано и надлежащим образом выполняется, то твой сайт будет практически недосягаем для хакеров и вирусов.

Надежность программной части

Под этим понятием подразумевается твоя CMS ( система управления контентом) типа PHP Fusion, Joomla, WordPress и им подобные, либо скрипты, на которых работает твой сайт.

Надежность программной части изначально подразумевает отсутствие уязвимостей(дыр или багов, способных дать уязвимость), позволяющих мегакулхацкеру или боту получить доступ к БД, файловой системе или к панели административной части сайта. Чтобы в программной части не было уязвимостей, либо их возможность появления была близка к нулю, разработчики этих продуктов должны разрабатывать скрипты обязательно с оглядкой на безопасность, что выполняется далеко не всегда, либо выполняется, что называется, спустя рукава, короче- на "отЪипись". Суровая правда жизни, к сожалению, такова, что практически в каждой CMS или в скрипте существует уязвимость, а иногда их просто куча. Часть из них опубликована в открытом доступе (публичные уязвимости), другая не доступна в паблике и используется для направленных атак на конкретные ресурсы. Для того, чтобы программная часть твоего проекта была надежна и неприступна, нужно уделять пристальное внимание проблеме безопасности, которая с каждым днем становится все актуальнее. Если твой сайт работает на одной из популярных CMS, как я уже писал ранее, нужно регулярно следить за обновлениями на офсайте разработчиков. Если же сайт работает на скриптах собственной разработки, нужно выполнять сканирование сайта доступными средствами поиска уязвимостей (XSpider, Acunetix Web Vulnerability Scanner, утилитами для поиска SQL иньекций, XSS, RFI и другими), проверять исходный код сайта средствами статического анализа исходного кода (RIPS) , скриптами, которые имеются здесь в базе, и, если обнаружатся уязвимости, исправить их.

Кроме регулярных обновлений скриптов и CMS есть еще один важный момент, усиливающий безопасность и надежность скриптов- это правильная конфигурация настроек сайта. Важно: грамотно, со знанием, прописать права на файлы и директории (Chmod), закрыть доступы к внутренностям сайта (каталогам с резервными копиями, конфигурационным файлам и так далее), запретить выполнение скриптов в директориях загрузки, поставить дополнительную защиту на вход в админпанель. Практические советы посмотри здесь. Данные процедуры не спасут тебя на 100%, однако позволят значительно снизить вероятность взлома, даже при наличии уязвимостей в программной части.

Безопасность хостинга или сервера

Вторым, но не менее важным моментом в плане безопасности, является хостинг, на котором размещается сайт. Хостинг может быть shared (общий), или dedicated (выделенный). Для шаред-хостингов ответственность за безопасную настройку сервера лежит на админе хостинг-компании. Для дедика (VDS/VPS/DDS) эта ответственность лежит полностью на владельце сервера. Как в случае shared-хостингом, так и в случае dedicated-сервером, настройки конфигурации должны давать минимальную свободу действий, они должны быть выполнены специалистом, дабы эти настройки никак не сказались на работоспособности проекта или проектов. То есть на сервере должны быть разрешены только самые необходимые функции, а все остальное- запрещено. Например, если сайт не выполняет внешних подключений к другим серверам (парсеры погоды, курсов валют, новостей и т.п.) , то можно за ненадобностью отключить опции внешних подключений. Если сайт не использует системные вызовы (system, shell_exec, и подобные), то эти функции тоже можно "вырубить". Кроме того, необходимо ограничить область видимости файловой системы из скриптов и т.д., и т.п. Обо всем этом должен заботиться сисадмин сервера. Как ты, наверное, знаешь, на одном сервере шаред-хостинга размещаются десятки, а то и сотни сайтов, и каждому из них требуются свои функции. Именно по этой причине хостинг-компании максимально лояльно, иногда даже на грани халатности, подходят к вопросам настроек сервера, разрешая практически все. Естественно, это сказывается на общем уровне безопасности всех сайтов, размещенных на их серверах. Поэтому тебе, сайтостроитель, нужно более тщательно подходить к вопросу выбора хостинга: выбирать нужно тот, который позволяет производить настройку веб-сервера и php персонально для эккаунта, а не использовать установки по-умолчанию. Настройку dedicated- сервера должен проводить грамотный, а главное- опытный сисадмин, который сможет изолировать сайт от остальной части всей системы, максимально ограничив свободу скриптов и область их видимости, а также организовав механизмы контроля целостности файловой системы, системы резервного копирования и записи логов.

Аккуратность, грамотность и профессионализм админов сайта

На практике, владельцы ресурсов, как правило, уделяют слишком малое внимание вопросам безопасности, наивно полагая, что программная часть идеальна, настройки сервера надежны, безопасны и непробиваемы. Хотя, как показывает практика, собственная беспечность, граничащая с халатным безумством, является одной из основной причин взломов и заражения сайта вирусами. Ниже приведены основные правила, которые ты должен постоянно держать в голове:

• Компьютер, с которого выполняется работа с сайтом, должен быть защищен хорошим лицензиноным антивирусным программным обеспечением и регулярно этим антивирусом проверяться. Если с сайтом работает не один человек, данное требование должно быть применимо ко всем без исключения.


• Пароли от ftp/ssh/ панели администратора нужно менять регулярно, хотя бы раз в месяц


• Ни в коем случае не хранить пароли в программах (ftp-клиентах, браузере, электронной почте)


• Ставить сложные пароли вида JtdKC4a8@fW


• Работать по безопасному протоколу SFTP или SCP

Подведем итоги

Чтобы сайт был защищен от вирусов и хакеров, нужно достаточно много внимания уделять проблеме безопасности: поддерживать программное обеспечение в актуальном состоянии, регулярно обновлять его, правильно настраивать хостинг и следить за настройками доступа к проекту. Если хотя бы один из этих элементов будет слабым звеном, то это может нести в себе потенциальную угрозу безопасности.