сигурност на сайта

Нека поговорим за такива важни неща като сигурността на сайта. За тези, които са само началото, или не е програмист, че е двойно по-важна. Съгласете се, би било жалко да загубим сайта, който нежно подхранва за дълго време. Ако уебсайтът също носи голям доход, или виси на първите места в силно конкурентна предмети - това със сигурност рано или късно ще привлече вниманието на някой, не е здравословно.

Трябва да кажа, можете да направите всичко. Само въпрос на време и сложност. Поради това е необходимо да се направи това, за да "хакване" на сайта е колко трудно е възможно, и минимални загуби. Последният пример е толкова ярка ebay.com. Нас за иБей дълго време да расте, но за да се предпазят дори от училище, първо научих за уязвимости очевидно си струва. Едва ли те "ще доведе" вашия сайт, но mucks ponadelat може. Разваляне на съдържание, за да изтриете базата данни.

Нека да започнем с цел, с конкретни уязвимости, за да отвори в CMS.

Най-често срещаните уязвимости - всички видове инжекция.

SQL инжекция - един от най-разпространените начини да се хакват уеб сайтове и програми, които работят с бази данни, въз основа на въвеждането на искане произволен SQL-код.

Какво заплашва. Това дава възможност да се изпълни произволен заявките на базите данни - четене / запис / изтриване / промяна на данни.

Атака Техника: Поведението на сценария и данните в пост / GET заявки, бисквитките, HTTP_REFERER, AUTH_USER и AUTH_PASSWORD. Нападателят просто минава през параметрите, заместване на произволен код (често просто цитира). Ако страницата е някак nepravlno то реагира на него, и се кълне на параметрите грешен формат - уязвимостта е.

Защита: Внимателно филтрираме всички входни параметри, които се използват, за да postoroeniya SQL заявка.

Как да се провери на сайта си: SQL Инжектират мен - че е лесно да се досетите от името, този плъгин ще ви помогне да се провери на сайта за SQL инжекция. Можете да получите това да се анализират всички възможности и да получите формата на тази страница. Този плъгин създава огромен трафик сайтове, а понякога дори да падне от работата си :). Така че не трябва само да включите всички проверки, по едно и също време.

Доплащане: Опасен за "съседите" на хостинг, ако домакин не правилно конфигуриране на сървър (и това се случва доста често).

Какво заплашва: Можете да изпълни произволен код в браузъра на JS-жертвата - да cookei жертва, или дори да извърши определени действия от името на този потребител. Понякога се използва за DDoS.

Как да се провери на сайта си: XSSMe - плъгин за Firefox проверки за уязвимости в XSS.

Това са двата основни атаки срещу сайтове, независимо от вашата CMS.

Сега нека да поговорим за собствената си безопасност.

- ... сайтове с безплатна CMS средно четири пъти по-вероятно да бъдат заразени и да попаднат в черния списък, от обекти в търговския CMS.

- В същото време сред сайтове в CMS TYPO3 не се открива всеки заразен сайт. Отдаваме това на факта, че развитието на отбора TYPO3 плаща много внимание за подобряване на сигурността на своята CMS.

- Да се ​​съхранява вашата версия на CMS намаляване на риска от проблеми в средно наполовина. Най-очевидно се възползват от прехода към новата версия на Joomla е забележимо по примера и WordPress.

- версия на уеб сървър не е решаващ фактор в сайт за сигурност. Т.е. все още на Nginx, Apache или IIS превръща вашия сайт.

- Yandex влиза в сайтове от черния списък са два пъти по-вероятно, отколкото Google. В този случай, на кръстовището на списъци Google и Yandex е само 10% от общия брой регистрирани в сайтовете на черен списък. Винаги се уверявайте, че имате тези списъци на вашия сайт.

- Повече от половината от собствениците, чиито сайтове се използват активно за насърчаване на даден продукт или услуга, не знам, ако има проблеми с техните сайтове.

- Собствениците на сайтове 4500 (от общо 30 000) са участвали в проучването, риск от финансови загуби поради проблемите, съществуващи в сайта. Това е почти един на всеки седем сайт.

Сайтове направени въз основа на свободна практика => свободна практика с опит в рамките на няколко месеца => Джумла => 20 трети страни модули => доставка на проекта => забравени за една година от 100% резултати в obrazovyvaniyu сайт огромно количество дупки и vryatli тук всичко отговорност може да бъде възможно да се CMS. "

- Следете кои модули за инсталиране и къде. От ненадеждни източници дори шаблон сайт може да бъде опасно. Особено, ако се продава, а вие имате "намерен" безплатно.

- Актуализация, актуализира и отново подновени. Не забравяйте, че ако вие или вашият програмист е направила промени в сайта, които пречат подновяване - рискът от заразяване "заразят" много пъти се увеличава.

- Ако е възможно, използвайте SFTP, криптиран канал, вместо остарялата FTP. Прихване вашите данни и да ги разчете в такъв случай, тя става много по-трудно. Посъветвайте се с домакина да ви даде такъв достъп, ако не даде странни извинения - nafik този хост.

- Ако VPS / VDS вас - сървър, наемат добър администратор със своите услуги, или да плащат за услугите на хостинг. Племенник на чичо Вася, току-що завърши "готино университет", той може да бъде младия талант, но може би не. За грешките си, която плащате.

Това е всичко. Бъдете бдителни.