Как защитить свой сайтХакерские атаки встречаются достаточно часто, но почему-то многие обращают на это внимание только тогда, когда это затрагивает их лично. И я этому не исключение. Буквально на днях (14 марта 2011 года) меня красиво взломали. Почему говорю красиво? Да потому что я максимально обезопасил свой блог от взлома (как я полагал) и выполнил все основные требования для защиты. Но, хакеры есть хакеры.
Именно этот инцидент побудил меня написать данную статью и поделиться своим опытом, а заодно — дать практические рекомендации по защите от взлома.

Для начала расскажу, как это было со мной...

Просыпаюсь я утром, включаю ноутбук и проверяю свой блог (обычное дело блогера: посмотреть на посещаемость, новые комментарии, да и вообще на работоспособность) и вдруг при загрузке обнаруживаю вместо своего блога вот такую интересную картинку (фото кликабельно):

Скриншот взломанного сайта

Сначала подумал, что глюк (ведь со мной этого быть не может), но после нескольких очередных загрузок убеждаюсь, что меня взломали. Потом вспоминаю о несделанных backup файлах и баз данных, которые я вечно откладывал на потом. Одним словом, красота! Немного успокоившись, начинаю принимать меры: захожу в админ. панель — все на месте, пробую подключиться через FTP — соединяет. Мистика!

Одна только мысль мне не давала покоя — как можно было взломать блог, если я скрыл версию движка, сменил стандартный логин и поставил плагин «Anti-XSS attack», а также «Login LockDown», который просто не дает возможности подобрать логин и пароль (я установил всего 3 попытки и 3 минуты, после чего Ip-адрес блокируется ). А потом понял — взломщик не подбирал логин и пароль к админке, он обошел это, узнав при этом мой хост, логин и пароль FTP-доступа.

Короче, зашел он через FTP. Когда я просмотрел на свои файлы, стало понятно, что он натворил: заменил мой index.php на свой, удалил файл .htaccess в корневом каталоге и создал еще кучу левых скриптов и папок. Скажу честно, мне еще добрый хакер попался, он ведь мог и все файлы удалить, а backup'ов то нет.

Жизнь преподала мне ценные уроки о которых мы и поговорим ниже.

Как максимально защитить свой сайт/блог



Рекомендации по защите

1. Всегда обновляйте CMS движок до последней версии.
Разработчики для этого и улучшают свой продукт, чтобы максимально обезопасить его и устранить всевозможные баги.

2. Устанавливайте плагины и различные дополнения по безопасности для блога/сайта.
В случае популярного движка «WordPress» — это «Anti-XSS attack», «Login LockDown», «WP Security Scan» и им подобные. А также старайтесь скрывать версию движка, потому что каждая версия имеет свои особенности (для WordPress — это плагин «Replace WP-Version»).

3. Придумывайте сложные пароли.
Практика показывает, что большинство людей используют очень простые пароли, такие как: даты своего рождения (и вообще различные даты), имена и клички любимцев, свои ники + еще что-то примитивное. Избегайте такого! Старайтесь создавать пароли с включением символов (% ^ & # +), а также с применением нижнего и верхнего регистра (с маленькой и большой буквы).

4. Не раздавайте права доступа к вашему ресурсу незнакомым (или непроверенным) людям.
Довольно частое явление, когда веб-мастер не знает как встроить тот или иной код/скрипт и доручает это сделать стороннему человеку. Всегда будьте бдительны. А если и доручаете сторонним лицам свои логины и пароли, тогда после окончания работы меняйте их.

5. Не посещайте сомнительные сайты и не переходите по непонятным ссылкам.
Думаю тут объяснений не нужно, проблемы могут возникнуть не только с вашим сайтом, но и с компьютером.

6. Избегайте хранения паролей в FTP-клиентах.
Да и вообще не храните свои пароли в браузерах, почтовиках, а особенно в программе Total Commander (для хакеров это просто подарок). Выполнение этой рекомендации значительно повысит вашу безопасность, поскольку трояны частенько воруют такую информацию.

7. Используйте спец. программы для хранения паролей.
Очень опасно хранить все свои пароли в каком-нибудь блокноте на рабочем столе. Всем известно, что антивирусники могут рано или поздно пропустить злобного червя, который в последствии может стать вершителем судьбы вашего сайта, ПО или электронных кошельков. Найдите себе подходящую программу, в которой будете хранить пароли и не беспокоится о краже.

8. Всегда делайте backup файлов и баз данных.
Некоторые хостинги делают сами такие вещи, но, как показывает практика, хостинги тоже летят. Поэтому, выработайте себе привычку систематически (раз в неделю или месяц) делать бэкапы. Это поможет вам спать спокойно, даже если все полетит или исчезнет (с помощью «добрых» людей).

Полагаю, мой опыт и вышеуказанные рекомендации помогут вам максимально защитить свой сайт и компьютер от недоброжелателей. Если у кого-то были подобные случаи — поделитесь в комментариях, буду рад.