Securitatea site-ului

Să vorbim despre astfel de lucruri importante, ca securitatea site-ului. Pentru cei care au început sau nu este un programator este de două ori mai importantă. Sunt de acord, ar fi o rușine să-și piardă site-ul pe tandrețe nutrit pentru o lungă perioadă de timp. În cazul în care site-ul aduce, de asemenea, un venit mare, sau agățat pe primele locuri la un discipline extrem de competitive - aceasta cu siguranță va atrage, mai devreme sau mai târziu, atenția cuiva este nesănătoasă.

Trebuie să spun, puteți face totul. Doar o chestiune de timp și de complexitate. Prin urmare, este necesar să se facă acest lucru pentru a „hacking“ site-ul a fost cât de dificil este posibil, și pierderi minime. Ultimul exemplu a fost ebay.com atât de luminos. Ne la eBay mult timp să crească, dar pentru a se proteja chiar și de la școală, în primul rând a aflat despre vulnerabilități, evident, în valoare. Cu greu ei „vor conduce“ site-ul dvs., dar mucks ponadelat poate. Alterării conținutului, pentru a șterge baza de date.

Să începem în ordine, cu vulnerabilități specifice, pentru a găuri în CMS.

Cele mai comune vulnerabilitati - toate tipurile de injectare.

injecție SQL - una dintre cele mai comune modalități de a hack site-uri și programe, care lucrează cu baze de date, bazate pe introducerea unei cereri SQL-cod arbitrar.

Ce amenință. Aceasta face posibilă executarea de interogare a bazelor de date arbitrare - citire / scriere / ștergere / modifica date.

Atac Tehnica: Comportamentul script-ul și datele din POST / GET cereri, cookie-ul, HTTP_REFERER, AUTH_USER și AUTH_PASSWORD. Atacatorul trece pur și simplu prin parametrii, înlocuind cod arbitrar (de multe ori pur și simplu citate). Dacă pagina este într-un fel nepravlno reactioneaza la ea, și jură pe parametrii format greșit - vulnerabilitatea este.

Protecție: filtrăm cu atenție toți parametrii de intrare care sunt folosite pentru postoroeniya interogare SQL.

Cum să verificați site-ul: SQL Inject Me - este ușor de ghicit din numele, acest plugin va ajuta să verificați site-ul pentru injectare sql. Puteți obține o pentru a analiza toate opțiunile și de a obține formularul de pe aceasta pagina. Acest plugin creează un imens site-uri de trafic și, uneori, chiar și cad de la :) său de lucru. Deci, nu doar includ toate controalele în același timp.

Supliment: Periculos pentru „vecinii“ de găzduire, în cazul în care gazda nu configurează corect un server (și se întâmplă destul de des).

Ce amenință: Puteți executa cod arbitrar în browser-ul JS-victimei - a lua cookei victimă, sau chiar efectua anumite acțiuni în numele acelui utilizator. Uneori folosit pentru DDoS.

Cum să verificați site-ul: XSSMe - plugin pentru controale Firefox pentru vulnerabilități la XSS.

Acestea sunt două atacuri majore pe site-uri, indiferent de CMS.

Acum, hai sa vorbim despre propria lor siguranță.

- ... site-uri folosind gratuit CMS, în medie, de patru ori mai susceptibile de a fi infectate și se încadrează în lista neagră, decât site-urile CMS comerciale.

- În același timp, printre site-urile de pe CMS TYPO3 nu a fost detectat nici un site-ul infectat. Am acest atribut la faptul că dezvoltarea echipei TYPO3 acordă o atenție mult pentru a imbunatati securitatea CMS sale.

- Păstrați versiunea de CMS reduce riscul de probleme în medie în jumătate. Cel mai evident beneficia de trecerea la cea mai recentă versiune de Joomla este vizibil pe exemplul și WordPress.

- versiune a unui server de web nu este un factor decisiv în securitatea site-ului. Ie încă pe Nginx, Apache sau IIS transformă site-ul tău.

- Yandex intră în site-uri la lista neagră sunt de două ori mai probabil decât Google. În acest caz, intersecția listelor Google și Yandex este de doar 10% din numărul total înregistrat în site-urile lista neagră. Asigurați-vă întotdeauna că aveți aceste liste pe site.

- Mai mult de jumatate din proprietarii ale căror site-uri sunt utilizate în mod activ pentru a promova un produs sau un serviciu, nu știu dacă există probleme cu site-urile lor.

- Proprietarii de 4500 site-uri (din 30.000) au participat la studiu, riscul de pierderi financiare din cauza problemelor existente pe site. Asta e aproape unul din șapte site-ul.

Site-urile realizate pe baza freelancing => freelancer cu experiență în câteva luni => joomla => module +20 terți => livrarea proiectului => uitat pentru un an de 100% rezultate în site-ul obrazovyvaniyu cantitate mare de găuri și vryatli aici orice responsabilitate poate fi posibil la CMS. "

- Țineți evidența module pentru a instala și în cazul în care. Din surse neautentificate chiar șablon de site-ul poate fi periculos. Mai ales în cazul în care este vândut, și ai „găsit“ liber.

- Actualizare, actualizare, și din nou reînnoit. Rețineți că, dacă sau programator dumneavoastră a făcut modificări la site-ul care împiedică reînnoirea - riscul de capturare „infecteze“ de multe ori crește.

- Dacă este posibil, utilizați SFTP, un canal criptat, în loc de FTP depășite. Intercepteze datele și să le descifreze într-un astfel de caz, devine mult mai dificil. Cere gazda pentru a vă oferi un astfel de acces, dacă nu dau un scuze ciudat - nafik această gazdă.

- Dacă VPS / VDS tine - serverul, angaja un administrator de bun pentru serviciul său, sau să plătească pentru servicii la găzduire. Nepotul unchiului Vasya, tocmai a terminat „universitate rece“, acesta poate fi tinerele talente, dar poate că nu. Pentru greșelile pe care îl plătiți.

Asta e tot. Fii vigilent.