Главная » Управление аккаунтом » Безопасность сайта » Полноценная инструкция про безопасность и защиту своего проекта

Полноценная инструкция про безопасность и защиту своего проекта

25.01.2012 в 21:21
Автор: Zork   

В обычные бытовые будни в интернете взламывают тысячи сайтов. Вы наверное хотите узнать почему и с какой целью взламывают сайты? Конкретного ответа нет, все зависит от характера человека который это делает. Можно выдвинуть три типа

  • Взлом сайта происходит из-за недоступности какой либо информации или из-за денег.
  • Взламывают просто ради практики или поднятия своего настроения.
  • И последний самый редкий способ, непреднамеренный взлом (по ошибке).

Время от времени в своей работе каждый веб-мастер задается вопросом, какие меры нужно предпринимать, чтобы обезопасить свой сайт от нашествия хакеров и хулиганов. Существует ни один способ защиты.

Давайте разберем все аспекты.

Главные ошибки

Первая ошибка

Это легко подбираемые пароли. (Пароли подобные тем что приведены ниже)

Quote (Пример)

qwerty;123456;password;Marina


Вторая ошибка

Это мнение если Ваш компьютер защищен антивирусом (даже лицензионным), Вы не можете быть уверенны, что полностью защищены.

Третья ошибка

Это переход по подозрительным ссылкам. Даже если Вам прислал ссылку Ваш друг, не переходите по ней если не уверены. (Вашего друга могли взломать злоумышленники и прислать Вам эту ссылку). Даже самый сложный пароль и антивирус не смогут обеспечить Вам защиту, если Вы не будете осторожны. Это один из самых надежно работающих способов взлома на сегодняшний день.

Четвертая ошибка

Это отправить свои данные получив, например, письмо на электронную почту с просьбой отослать пароль, под каким либо предлогом. Если подумать то зачем администрации Ваш пароль? У них и так есть доступ. Это обман.

Как уберечь свой сайт от взлома?

  • Пароль.

    Пароль - это секретный набор символов, предназначенный для подтверждения полномочий, личности.

    Пароль не должен отражать информацию о Вас и Ваших окружающих. Должны быть случайные символы. Идеальный пароль для панели управления проектом, на мой взгляд, должен выгладить так 0g8f-eT-eXxVkUHxFqwbP3S3OrGjw_Bg

    Пароль может быть от 6 до 32 символов, разрешены не все, а только латинские буквы от a до z и в в верхнем регистре от A до Z, также цифры от 0 до 9 и два символа подчеркивание _ и тире - .
     
  • uID-пароль

    uIDпаролю нужно уделять особое внимание. Злоумышленник имея данный пароль и Ваш email адрес, сможет зайти на любой сайт с uID-авторизацией. А все Ваши созданные и зарегистрированные сайты на этом uID аккаунте изначально имеют полномочия администратора. Нанести ущерб не составит труда.
     
  • Смена пароля от uID

    Для смены пароля Вам не нужно ввести только новый пароль и пароль администратора вебтопа.

    Путь: Настройки > Настройки профиля > Безопасность

     
  • Пароль администратора вебтопа

    Это глобальная панель управления всеми Вашими созданными сайтами с Вашего uID аккаунта. (если, конечно, Вы не задали для отдельного сайта, отдельный пароль)
  • Смена пароля администратора вебтопа

    Путь: Настройки > Настройки профиля > Безопасность

     


    Установить одинаковые пароли на uID аккаунт и на администратора вебтопа - нельзя.
     
  • Использовать отдельный пароль для Вашего проекта.

    Для этого заходим в панель управления нажимаем в верхнем меню вкладу безопасность пункт сменить пароль аккаунта (домен Вашего сайта/panel/?a=password)

     


    Пароль не должен совпадать с другими, скажем от почты, от социальной сети и так далее.

     
  • Места входа в панель управления.

    Самыми потенциально опасными местами входа в панель управления является интернет кафе, компьютер на работе иди институте, школе и любом другом помещении.

    Если Вам придется зайти в панель управления не с Вашего личного компьютера.

    Вы должны обязательно поставить галочку в поле "Чужой компьютер" и не сохранять пароль когда браузер предложит это сделать. После окончания работ нажать кнопку "Выход".
     
  • Доверие пароля третьим лицам.

    Доверять пароль нужно только тем в ком Вы уверены.

    Безопасность при этом сильно снижается, удалить Ваш сайт без секретного ответа не смогут, а вот принести Вам проблем, вполне.
     
  • О секретном вопросе.

    Всплыло такое понятие как секретный вопрос - это тоже способ подтверждения полномочий и личности, только уже более высокой степени. Если доверить пароль от панели управления еще можно, то мой совет не давать секретный вопрос никому.

    Менять его можно в uID профиле.

    Путь:Настройки > Настройки профиля > Безопасность

     


    Теперь о безопасности и сложно подбираемости Вашего секретного вопроса и ответа.

    Обычно Мы ставим то что легче вспомнить. Я рекомендую ставить свой "вопрос на засыпку". (выбирать свой вариант), обосновывая это тем, что все данные перечисленные там можно узнать, если всерьез заняться взломом Вашего проекта. Где это делается объяснять не буду из логических соображений. Так же пример лучше не приводить, эту статью могут читать злоумышленники.

    Если вы забыли секретный вопрос Вам нужно написать в службу технической поддержки с панели управления сайтом.

    Предоставив доказательства, что это Ваш сайт Вам сменят его.
     
  • Со-администраторы и модераторы.

    Со-администраторы и модераторы это люди в которых вы уверены. Если выдать полномочия человеку с плохими намерениями можно получить массу проблем. Даже если вы уверены в человеке это не значит что ему можно не придерживаться требованиям безопасности. Его пароль могут получить злоумышленники и навредить Вашему проекту.

    Параметры безопасности

    Продолжим погружения в тонкости настроек параметров безопасности панели управления.

    Движок uCoz`а позволяет нам тонко настроить:

    Заходим в панель управления, верхнее меню вкладка безопасность, пункт параметры безопасности.

    (домен Вашего сайта/panel/?a=security). Рассмотрим каждый из пунктов подробно.
     
    • Максимальное количество одновременных входов в панель управления
    • Тайм-аут сессии
    • Уровень фиксации IP-адреса
    • Вход в панель только с указанных IP-адресов и подсетей
  • Максимальное количество одновременных входов в панель управления

     

    Здесь все сугубо зависит от того сколько человек и как часто администратируют Ваш проект. Останавливаться не будем.
  • Тайм-аут сессии

     

    Предельно допустимое время отсутствия активности в панеле управления. Работали над сайтом, отлучились через час Вас панель попросит Вам снова ,идентифицироваться, ввести пароль.

     
  • Уровень фиксации IP-адреса
     

    По латинскому алфавиту A,B,C,D(отсутствует).

    А самый строгий, точный метод фиксации IP, подойдет тем у кого выделенный IP-адрес.

    B Средний вариант фиксации.

    С более мягкий, метод фиксирования, лично я пользуюсь им, подойдет тем у кого динамичный IP-адрес.

    D метод "без привязки", не рекомендованный. Если у Вас часто в панели управления появляется ошибка о изменившемся IP-адресе, метод для Вас.
     
  • Вход в панель только с указанных IP-адресов и подсетей

     

    Крайне не рекомендованная функция. Используется только в редких случаях. Если у Вас не меняющийся, выделенный IP-адрес и есть желание полностью обезопасить свой проект, функция для Вас.

    Учтите, что может случиться так что вы не сможете попасть в панель управления.
     
  • Если такое произошло

    Вам необходимо написать в службу технической поддержки uCoz через другой сайт, либо через обратную связь (http://www.ucoz.ru/contact)
    Шаблон заполнения сообщения
    Quote


    Здравствуйте! Я поставил блокировку по IP на вход в панель управления сайтом, через некоторое время IP сменился. Необходимо снять блокировку.

    1. Адрес моего сайта: (домен Вашего сайта)

    2. Ответ на секретный вопрос: (ответ на секретный вопрос)

    3. IP-адрес(а), с которого(ых) было разрешено входить в панель управления: (IP-адрес(а))

    4. Мой текущий IP-адрес: (IP-адрес)

    5. Причина : (укажите причину почему больше не можете заходить по IP-адресу, к которому поставили привязку)


    Логи действий

    У нас имеются два вида a.log и security log.

    Лог — это журнал событий, протокол.

    a.log это протокол действий всех пользователей. Пример из-за большой ширины разделен на два картинки.
     
     

    Указывается дата и время, действие в нашем случае, /forum; editing message (/форум; редактирование сообщения),пользователь и его группа,IP-адрес с которого совершено действие,комментарий Thread ID: 1992; Entry ID: 19570 (Идентификатор топика 1992; Идентификатор сообщения 19570).

    security log это журнал попыток входа в панель управления.Пример из-за большой ширины разделен на два картинки.

     
     


    Дата и время, действие /panel; Login to control panel (/панель управления; Вход в контрольную панель), пользователь (стандартный домен вашего сайта), IP-адрес и комментарий.

    Соединим эти части так как они не отчаются по большому счету ничем.

    Замена пароля (FTP)
     

    Замена пароля (PHP FTP)
     

    Пароль не должен отражать информацию о Вас и Ваших окружающих. Должны быть случайные символы. Идеальный пароль для FTP и PHP FTP, на мой взгляд, должен выгладить так sg-WceBsyWy_7XG

    Пароль может быть от 6 до 15 символов, разрешены не все, а только латинские буквы от a до z и в в верхнем регистре от A до Z, также цифры от 0 до 9 и два символа подчеркивание _ и тире - .

    Полезные ссылки
  • http://pasw.ru/ - генератор паролей
  • http://www.guid.uid.me/ - uID

    Подводя итог инструкции хочу отметить самые важные микро-выводы.

    Внимательность, логика, надежный пароль, пословица "доверяй, но проверяй".

 

 

Безопасность сайта, безопасность


Рейтинг: 21  (помогла ли Вам эта инструкция: да / нет)          Просмотров: 9772          Комментариев: 6

Похожие инструкции

15.12.2014 в 12:42      0  

Статья действительно хорошая! Я бы еще информацию по менеджерам паролей добавил. Лично я пользуюсь менеджером паролей от TeddyID, и считаю, что на данной момент он лучший

CbIPHbIu

Спам
14.02.2012 в 18:19      +2  

Спасибо за статью, реально спасибо, +1
Но ты то знаешь что модераторам нельзя доверять, сам ведь устроил кое-что :D
14.02.2012 в 19:19      +1  

Доверяй, но проверяй.
26.01.2012 в 22:11      0  

Благодарю
26.01.2012 в 18:14      +1  

Да, полезная инструкция!
26.01.2012 в 16:02      +1  

Молодец зорк,отличная статья.