Пара рекомендаций для защиты сайтов

(Ответов: 14, Просмотров: 1534)
Страница 1 из 2 12 Последняя
  1. Студент Аватар для Bo0oM
    • Регистрация: 13.01.2011
    • Сообщений: 70
    • Репутация: 28
    1. Password
    Думаю много говорить об этом не стоит. Пароли должны быть сложные, и не храниться в браузере. Желательно использовать «одноразовые пароли»

    2. Whois
    В информации о домене не стоит указывать личный почтовый ящик, ведь многие и не задумываются, что регистрируясь на других ресурсах Вы можете оставить пароль (пароли) тем людям, которые этот ресурс взломают, произойдет какая-либо утечка, а быть может, прямой наводкой взломают Ваш почтовый ящик. Ещё хуже, если на эту почту зарегистрированы домен и хостинг. Владельцу ресурса будет очень обидно о подобном происшествии, а ведь можно было это всё предотвратить. Смешно наблюдать, когда в информации о домене стоит ящик, вопрос на восстановление пароля звучит как «любимый номер телефона», который так же указан в whois.




    3. Защита авторизации и прав

    Если на web-ресурсе присутствует админка, или такие папки как myphpadmin, ведь нетрудно один раз настроить права чтения\записи, .htaccess, защитить папки конфигов, и спать спокойно. Если есть возможность, то почему бы не вставить лёгкую капчу на регистрацию\авторизацию? Так же делайте бэкапов в главной директории сайта или запарольте папку тем же .htaccess
    В моём опыте был случай, когда пароль на web-ресурс подбирали в течении 9 с лишним месяцев (!!!). В итоге ресурс был захвачен.




    4. ПО
    И сказал админ - обновляйтесь! Не откладывайте на завтра то, что можно (нужно) сделать прямо сейчас. Обновления обычно закрывают дырки, исправляют ошибки. Пользуйтесь лицензионными скриптами, программами. Nulled версии часто содержат скрытые бэкдоры, открывают какую-нибудь древнюю уязвимость или трояны.

    Конечно, это как камень в воду, но допустим при захвате пароля администратора, и правильно защищённых папках хакер не сможет проникнуть в админку ресурса, тем более, если в .htaccess прописан доступ по ip, не правда ли? И это вовсе не паранойя, и уделив этому немного времени можно сохранить значительно больше нервов в дальнейшем.
    • 3

    Спасибо сказали:

    blazhnov(26.06.2012), LoraDi(26.06.2012), Вадим(24.06.2012),
  2. Гуру Аватар для genjnat
    • Регистрация: 30.11.2010
    • Сообщений: 2,888
    • Репутация: 2594
    • Webmoney BL: ?
    Ну правильно все. Только мне кажется, проще на сервере настроить ежедневное резервное копирование, и не парится по поводу возможных взломов.
    А то получается - наденьте один презерватив, на него еще один, и главное - никакого секса.
    • 2

    Спасибо сказали:

    vetlik(26.06.2012), Вадим(24.06.2012),
  3. Студент Аватар для Bo0oM
    • Регистрация: 13.01.2011
    • Сообщений: 70
    • Репутация: 28
    Цитата Сообщение от genjnat Посмотреть сообщение
    Только мне кажется, проще на сервере настроить ежедневное резервное копирование, и не парится по поводу возможных взломов.
    Бэкап он и в африке бэкап, только вот если взломают сайт, и будут все время "потешаться" над ним, украдут важные данные (вруг это интернет магазин с данными о кредитках) - то тут никакой бэкап в плане утечки информации не поможет.
    • 1

    Спасибо сказали:

    Seopat(24.06.2012),
  4. Гуру Аватар для genjnat
    • Регистрация: 30.11.2010
    • Сообщений: 2,888
    • Репутация: 2594
    • Webmoney BL: ?
    Там где практикуются онлайн платежи (тем более кредиткой), используются куда более серьезные методы защиты, чем описанные в стартовом посте.
    Я не критикую топикстартера - предохранятся нужно, но в разумных приделах.
    Каптча и навороченные формы регистрации - это гемор для ваших юзеров. Навороченные логины и пароли от админок - гемор для вас самого (ибо в целях безопасности заполнять их нужно руками).
    Поэтому и считаю, что для обычного сайта - лучший способ защиты - свеженький, рабочий БКАП.
    • 1

    Спасибо сказали:

    volos_86(25.06.2012),
  5. SEO специалист Аватар для hammer8
    • Регистрация: 14.05.2012
    • Сообщений: 2,822
    • Репутация: 531
    • Webmoney BL: ?
    Все верно. Хотелось бы добавить что лучше регенирировать сложный пароль с разными символами.
    Проверить сложность пароля можно на официальном сайте майкрософта:
    _microsoft.com/ru-ru/security/pc-security/password-checker.aspx
    • 0
  6. Студент Аватар для CQR
    • Регистрация: 22.02.2012
    • Сообщений: 68
    • Репутация: 287
    Также хотел бы добавить, что почти 99% вирусов ориентированных на кражу личных данных воруют пароли из браузеров про которые вы забыли, например IE, который висит уже пару лет и в себе хранит кучу нужный информации - но вы им не пользуетесь, или же старый клиент icq, который уже не работает и вы про него забыли - я советую ставить себе для большей безопасности софт который рекаверит все пароли и проверить что у вас можно украсть,а чего нет. Также стоит помнить про такой софт как FILEZILLA и стандартный фтп клиент, который также может хранить пароли - помните об этом.

    Вот прочтите пожалуйста вот про Этот банальный троян:

    http://ru.wikipedia.org/wiki/Pinch
    Последний раз редактировалось CQR; 24.06.2012 в 22:42.
    • 2

    Спасибо сказали:

    seo-set(27.06.2012), Вадим(25.06.2012),
  7. Не перестаю учиться! Аватар для blazhnov
    • Регистрация: 10.08.2011
    • Сообщений: 387
    • Репутация: 70
    Bo0oM, спасибо за идею: "если в .htaccess прописан доступ по ip" - довольно просто и эффективно.
    • 0
  8. Опытный Аватар для vetlik
    • Регистрация: 12.06.2011
    • Сообщений: 357
    • Репутация: 26
    • Webmoney BL: ?
    genjnat,
    Так и есть,
    главное, чтобы хостер был нормальный и делал хотя бы раз в неделю полноценные бекапы.
    А для того, чтобы пароли не воровали, достаточно использовать антивирус и допускать посторонних людей за рабочий компьютер с паролями.
    • 0
  9. Студент
    • Регистрация: 20.12.2011
    • Сообщений: 57
    • Репутация: 0
    CQR, подскажите, а что в самой FILEZILLA ничего не делается для предотвращения кражи паролей распространёнными вирусами? Неужто так просто - подсадил вирус и твоя обновлённая прогаZilla слила твои пасворды?
    Решаем компьютерные проблемы: ремонт комьютеров и ноутбуков в Минске. Paratechnik.ru.
    • 0
  10. Студент Аватар для glodev
    • Регистрация: 28.04.2012
    • Сообщений: 53
    • Репутация: 9
    2. Whois по поводу этого пункта не совсем согласен, стоит указывать если сайт в дальнейшем планируется продавать ... Выгодное предложение о продаже может придти именно от туда, главное чтобы востановление пароля было через телефон тогда проблем не будет ...
    • 0
Страница 1 из 2 12 Последняя

Похожие темы

Темы Раздел Ответов Последний пост
10 шагов для защиты от хакеров
Дайджест блогосферы 1 27.09.2010 19:19
Использование хотлинк защиты
Хостинг и Серверы 18 24.12.2009 21:04
Лучшее средство для защиты WP от спама?
Софт, скрипты, сервисы 35 24.09.2009 19:09

У кого попросить инвайт?

Вы можете попросить инвайт у любого модератора:

Информеры