Как защитить свой сайт от взлома?

Последние статистики показывают, что случаи взломов сайтов с каждым днем увеличиваются. Злоумышленники постоянно ищут новые лазейки и уязвимости для получения доступа к сайтам. Не обновленные cms, простые пароли вида 12345/qwerty, отсутствия антивируса и пароля на домашнем компьютере – всё это только облегчает злоумышленникам работу.

Для того чтобы защитить свой сайт от взлома и обеспечить максимальную безопасность, выполните следующие действия:

1. Обновите CMS ваших сайтов, а также их плагины/модули до новейшей версии. При выходе новых обновлений сразу же устанавливайте их.

2. Не используйте различные дополнения к сайту со сторонних ресурсов. Устанавливайте темы оформления и плагины только через панель администратора сайта, либо с официальных сайтов Вашей cms.

Не скачивайте темы оформления, которые где-то предлагаются Вам на бесплатной основе, в то время как на официальном сайте они предоставляются за оплату – это 100% зараженные шаблоны.

Не храните на сайте темы оформления, которые не используются Вами в данный момент, т.к. зараженная тема даже в неактивном состоянии способна выполнять вредоносные скрипты на сайте.

3. Не используйте права доступа на файлы и папки - 777. Все официальные скрипты никогда не используют такие права доступа. Если Вы установили какой либо скрипт на сайт и он установил на своё содержимое права 777, задумайтесь о том, готовы ли Вы рисковать безопасностью Вашего сайта.

Устанавливайте следующие права доступа:

• 644 - права на файлы; 
• 755 - права на папки.

4. Для защиты от спама с ваших сайтов установите captcha (http://www.captcha.ru/) на формы отправки, через которые возможна несанкционированная рассылка.

• http://www.google.ru/search?q=как+установить+captcha
• http://www.simplecoding.org/dobavlyaem-captcha-k-forme.html

5. Закройте доступ по FTP к своему аккаунту и разрешите его только с известных вам IP-адресов или подсетей. Для этого нужно создать файл .ftpaccess в директории, для который необходимо настроить доступ и вставить туда строки:

Order allow,deny
Allow from xx.xx.xx.xx,127.0.0.1
Deny from all
(xx.xx.xx.xx - необходимый IP-адрес)

6. Смените все пароли на сервере и делайте это регулярно. Нигде не используйте простые и одинаковые пароли! Создавая пароль для пользователя/почтового ящика/администратора сайта/пользователя БД/FTP-аккаунта, придерживайтесь следующим правилам:

• Длина пароля составляет ОТ 10 символов;
• В пароль входят заглавные и строчные символы латинского алфавита (A-Z, a-z), цифры (от 0 до 9), также можно использовать и специальные символы (\, /, %, *, (, ), ?, @, #, $, ~, : и т.п.);
• Последовательность символов - произвольная.

Существуют генераторы паролей, которые могут облегчить задачу придумывания:

• http://www.onlinepasswordgenerator.ru
• http://generator-paroley.ru

Хранить пароли просто в текстовом файле небезопасно. Используйте зашифрованные разделы диска/флеш-накопители/файлы. Проверить насколько сложен для взлома ваш пароль можете с помощью данного веб-ресурса:

• http://howsecureismypassword.net

7. Вирусы так же используют для взлома сохранённые пароли в браузере и FTP-клиенте на Вашем локальном компьютере. Используйте антивирус на всех компьютерах, с которых осуществляется доступ к серверу. Постоянно обновляйте базу антивируса и хотя бы один раз в неделю выполняйте полную проверку Вашего компьютера.

Данная статья содержит в себе базовые настройки и рекомендации, которые помогут Вам повысить уровень безопасности Вашего сайта и избежать ряда стандартных уязвимостей.

Если после удаления вирусов и выполнения всех указанных выше действий, Ваш сайт был снова заражен - необходимо прибегнуть к помощи специалистов. Полное лечение сайта от вирусов в большинстве случаев возможно лишь при участии высококвалифицированных специалистов и наработанной стратегии в поиске вирусов и блокировке уязвимостей, т.к. существует множество нюансов, которые необходимо учитывать при лечении сайтов и защите от взлома.