1. Password Думаю много говорить об этом не стоит. Пароли должны быть сложные, и не храниться в браузере. Желательно использовать «одноразовые пароли»
2. Whois В информации о домене не стоит указывать личный почтовый ящик, ведь многие и не задумываются, что регистрируясь на других ресурсах Вы можете оставить пароль (пароли) тем людям, которые этот ресурс взломают, произойдет какая-либо утечка, а быть может, прямой наводкой взломают Ваш почтовый ящик. Ещё хуже, если на эту почту зарегистрированы домен и хостинг. Владельцу ресурса будет очень обидно о подобном происшествии, а ведь можно было это всё предотвратить. Смешно наблюдать, когда в информации о домене стоит ящик, вопрос на восстановление пароля звучит как «любимый номер телефона», который так же указан в whois.
3. Защита авторизации и прав
Если на web-ресурсе присутствует админка, или такие папки как myphpadmin, ведь нетрудно один раз настроить права чтения\записи, .htaccess, защитить папки конфигов, и спать спокойно. Если есть возможность, то почему бы не вставить лёгкую капчу на регистрацию\авторизацию? Так же делайте бэкапов в главной директории сайта или запарольте папку тем же .htaccess В моём опыте был случай, когда пароль на web-ресурс подбирали в течении 9 с лишним месяцев (!!!). В итоге ресурс был захвачен.
4. ПО И сказал админ - обновляйтесь! Не откладывайте на завтра то, что можно (нужно) сделать прямо сейчас. Обновления обычно закрывают дырки, исправляют ошибки. Пользуйтесь лицензионными скриптами, программами. Nulled версии часто содержат скрытые бэкдоры, открывают какую-нибудь древнюю уязвимость или трояны.
Конечно, это как камень в воду, но допустим при захвате пароля администратора, и правильно защищённых папках хакер не сможет проникнуть в админку ресурса, тем более, если в .htaccess прописан доступ по ip, не правда ли? И это вовсе не паранойя, и уделив этому немного времени можно сохранить значительно больше нервов в дальнейшем.
Ну правильно все. Только мне кажется, проще на сервере настроить ежедневное резервное копирование, и не парится по поводу возможных взломов. А то получается - наденьте один презерватив, на него еще один, и главное - никакого секса.
Только мне кажется, проще на сервере настроить ежедневное резервное копирование, и не парится по поводу возможных взломов.
Бэкап он и в африке бэкап, только вот если взломают сайт, и будут все время "потешаться" над ним, украдут важные данные (вруг это интернет магазин с данными о кредитках) - то тут никакой бэкап в плане утечки информации не поможет.
Там где практикуются онлайн платежи (тем более кредиткой), используются куда более серьезные методы защиты, чем описанные в стартовом посте. Я не критикую топикстартера - предохранятся нужно, но в разумных приделах. Каптча и навороченные формы регистрации - это гемор для ваших юзеров. Навороченные логины и пароли от админок - гемор для вас самого (ибо в целях безопасности заполнять их нужно руками). Поэтому и считаю, что для обычного сайта - лучший способ защиты - свеженький, рабочий БКАП.
Все верно. Хотелось бы добавить что лучше регенирировать сложный пароль с разными символами. Проверить сложность пароля можно на официальном сайте майкрософта: _microsoft.com/ru-ru/security/pc-security/password-checker.aspx
Также хотел бы добавить, что почти 99% вирусов ориентированных на кражу личных данных воруют пароли из браузеров про которые вы забыли, например IE, который висит уже пару лет и в себе хранит кучу нужный информации - но вы им не пользуетесь, или же старый клиент icq, который уже не работает и вы про него забыли - я советую ставить себе для большей безопасности софт который рекаверит все пароли и проверить что у вас можно украсть,а чего нет. Также стоит помнить про такой софт как FILEZILLA и стандартный фтп клиент, который также может хранить пароли - помните об этом.
Вот прочтите пожалуйста вот про Этот банальный троян:
genjnat, Так и есть, главное, чтобы хостер был нормальный и делал хотя бы раз в неделю полноценные бекапы. А для того, чтобы пароли не воровали, достаточно использовать антивирус и допускать посторонних людей за рабочий компьютер с паролями.
CQR, подскажите, а что в самой FILEZILLA ничего не делается для предотвращения кражи паролей распространёнными вирусами? Неужто так просто - подсадил вирус и твоя обновлённая прогаZilla слила твои пасворды?
2. Whois по поводу этого пункта не совсем согласен, стоит указывать если сайт в дальнейшем планируется продавать ... Выгодное предложение о продаже может придти именно от туда, главное чтобы востановление пароля было через телефон тогда проблем не будет ...