[Bo0oM]

1. Password
Думаю много говорить об этом не стоит. Пароли должны быть сложные, и не храниться в браузере. Желательно использовать «одноразовые пароли»

2. Whois
В информации о домене не стоит указывать личный почтовый ящик, ведь многие и не задумываются, что регистрируясь на других ресурсах Вы можете оставить пароль (пароли) тем людям, которые этот ресурс взломают, произойдет какая-либо утечка, а быть может, прямой наводкой взломают Ваш почтовый ящик. Ещё хуже, если на эту почту зарегистрированы домен и хостинг. Владельцу ресурса будет очень обидно о подобном происшествии, а ведь можно было это всё предотвратить. Смешно наблюдать, когда в информации о домене стоит ящик, вопрос на восстановление пароля звучит как «любимый номер телефона», который так же указан в whois.




3. Защита авторизации и прав

Если на web-ресурсе присутствует админка, или такие папки как myphpadmin, ведь нетрудно один раз настроить права чтения\записи, .htaccess, защитить папки конфигов, и спать спокойно. Если есть возможность, то почему бы не вставить лёгкую капчу на регистрацию\авторизацию? Так же делайте бэкапов в главной директории сайта или запарольте папку тем же .htaccess
В моём опыте был случай, когда пароль на web-ресурс подбирали в течении 9 с лишним месяцев (!!!). В итоге ресурс был захвачен.




4. ПО
И сказал админ - обновляйтесь! Не откладывайте на завтра то, что можно (нужно) сделать прямо сейчас. Обновления обычно закрывают дырки, исправляют ошибки. Пользуйтесь лицензионными скриптами, программами. Nulled версии часто содержат скрытые бэкдоры, открывают какую-нибудь древнюю уязвимость или трояны.

Конечно, это как камень в воду, но допустим при захвате пароля администратора, и правильно защищённых папках хакер не сможет проникнуть в админку ресурса, тем более, если в .htaccess прописан доступ по ip, не правда ли? И это вовсе не паранойя, и уделив этому немного времени можно сохранить значительно больше нервов в дальнейшем.

[genjnat]

Ну правильно все. Только мне кажется, проще на сервере настроить ежедневное резервное копирование, и не парится по поводу возможных взломов.
А то получается - наденьте один презерватив, на него еще один, и главное - никакого секса.

[Bo0oM]

Только мне кажется, проще на сервере настроить ежедневное резервное копирование, и не парится по поводу возможных взломов.

Бэкап он и в африке бэкап, только вот если взломают сайт, и будут все время "потешаться" над ним, украдут важные данные (вруг это интернет магазин с данными о кредитках) - то тут никакой бэкап в плане утечки информации не поможет.

[genjnat]

Там где практикуются онлайн платежи (тем более кредиткой), используются куда более серьезные методы защиты, чем описанные в стартовом посте.
Я не критикую топикстартера - предохранятся нужно, но в разумных приделах.
Каптча и навороченные формы регистрации - это гемор для ваших юзеров. Навороченные логины и пароли от админок - гемор для вас самого (ибо в целях безопасности заполнять их нужно руками).
Поэтому и считаю, что для обычного сайта - лучший способ защиты - свеженький, рабочий БКАП.

[hammer8]

Все верно. Хотелось бы добавить что лучше регенирировать сложный пароль с разными символами.
Проверить сложность пароля можно на официальном сайте майкрософта:
_microsoft.com/ru-ru/security/pc-security/password-checker.aspx

[CQR]

Также хотел бы добавить, что почти 99% вирусов ориентированных на кражу личных данных воруют пароли из браузеров про которые вы забыли, например IE, который висит уже пару лет и в себе хранит кучу нужный информации - но вы им не пользуетесь, или же старый клиент icq, который уже не работает и вы про него забыли - я советую ставить себе для большей безопасности софт который рекаверит все пароли и проверить что у вас можно украсть,а чего нет. Также стоит помнить про такой софт как FILEZILLA и стандартный фтп клиент, который также может хранить пароли - помните об этом.

Вот прочтите пожалуйста вот про Этот банальный троян:

http://ru.wikipedia.org/wiki/Pinch

[blazhnov]

Bo0oM, спасибо за идею: "если в .htaccess прописан доступ по ip" - довольно просто и эффективно.

[vetlik]

genjnat,
Так и есть,
главное, чтобы хостер был нормальный и делал хотя бы раз в неделю полноценные бекапы.
А для того, чтобы пароли не воровали, достаточно использовать антивирус и допускать посторонних людей за рабочий компьютер с паролями.

[seo-set]

CQR, подскажите, а что в самой FILEZILLA ничего не делается для предотвращения кражи паролей распространёнными вирусами? Неужто так просто - подсадил вирус и твоя обновлённая прогаZilla слила твои пасворды?

[glodev]

2. Whois по поводу этого пункта не совсем согласен, стоит указывать если сайт в дальнейшем планируется продавать ... Выгодное предложение о продаже может придти именно от туда, главное чтобы востановление пароля было через телефон тогда проблем не будет ...