Astăzi vreau să vorbesc despre siguranța site-ului și unele dintre metodele de protecție împotriva hacking. Din păcate, eu nu sunt un expert în acest domeniu și cunoașterea mea puțin dincolo de domeniul de aplicare al acestui articol despre test și protecția site-ului împotriva virușilor, dar pur și simplu descriu experiența mea recentă. Nimic nu este dificil, nu am folosit, dar sper că va spori siguranța site-urile mele.
Este vorba despre doi factori de autentificare pentru a vă conecta la site-ul motorului dvs. adminpanel (ar trebui să funcționeze pe orice CMS, dar personal, am verificat doar de către WordPress și Joomla). Protecția este plasat la nivelul serverului, astfel încât toate ghicirea parolei încercări de admin (brute force) nu va determina o sarcină mai mare pe hosting si este destul de dificil de a obține în jurul valorii. Se pune cu ușurință (doar câțiva pași) și a tuturor cunoștințelor necesită doar attentiveness și capacitatea de a accesa site-ul prin FTP.
Ei bine, și aduce, de asemenea o pereche de acțiuni pe care le-am aplicat la site-urile de pe motoarele deja învechite Joomla 1.5, pe care eu nu am înțeles foarte bine pentru a transporta pe Joomla 3, dar pe care am rup în mod constant în jos și de a folosi serverul pentru a trimite spam. Acești pași am făcut recent, așa că nu pot afirma faptul incetarii de site-uri infecției cu virusuri, dar așa sper. În general, am încercat un pic pentru a crește rezistența la efracție Joomla 1.5.
Așa cum am menționat mai sus, problema este constanta de hacking mele două site-uri, care se execută Joomla 1.5. Puteți lua în considerare le-au abandonat, pentru că noi materiale, eu nu adăuga la ele, dar generează în mod corect venituri. În general, acesta este un păcat să le arunce, și se transferă noua versiune a motorului „resturi“ (scuze pentru timpul pierdut și efort).
Rămâne fie monitorizează în mod constant sarcina pe server și de a crește căutarea printre fișierele motoare Șela și alte programe malware sau un mod de a consolida protecția. Pentru a căuta malware-ului, am sifonat fișierele motorului la computer și verifica DoktoromVebom și Aibolit lor. Primul este în nici un caz toate, iar ultimul inamic vede prea des în cazul în care nu există, dar unele alte modalități eficiente, nu știu.
Apropo, script-ul Aibolit capabil de a lucra nu numai pe server, ci direct pe computer într-un dosar cu fișierele descărcate slider (full-time anti-virus, dar nu uitați să vă deconectați atunci când descărcarea site-ul, deoarece se poate depune de multe ori pochikat și server-ele rămân în continuare) .
Viteza de scanare depinde de viteza calculatorului și numărul de fișiere în motorul site-ului. Mi-a luat câteva ore, deoarece chiar imaginile „Oh Cum Hurts“ este suspectat de viruși disimularea, iar cele mai multe dintre aceste fotografii am o mulțime, și fișierele din memoria cache să ia o mulțime de timp la scanarea. Pentru site-uri pe Joomla 1.5 verificare este mult mai rapid.
Am decis să-și petreacă o zi pentru a căuta modalități de a îmbunătăți securitatea site-urilor. Acesta a reușit să facă destul de un pic, dar încă mai bine decât nimic. Să începem cu întărirea protecției (cu reducerea vulnerabilității) a celor două site-uri de pe Joomla 1.5. Acesta a fost realizat după cum urmează:
Ascunde aceste informații de la motoarele de căutare, trebuie să renunț la lista de potențial hacking un alt hacker novice.
Atenție! Înainte de a începe pașii de mai jos, asigurați-vă că pentru a salva o copie de pe computer fișierele pe care în cazul în care ceva se va schimba (sau mai bine încă, descărcați toate fișierele de motor pe un computer). În orice caz, „Sunt în casă,“ un semn de avertizare ...
Pentru a face acest lucru, conectați la site-ul prin FTP (de exemplu, folosind Faylzily, dar apoi, din nou, vă reamintesc că parolele în ea, sau orice alt client magazin nu poate fi, pentru că troienii de pe computer știu cum le la pește) și-au găsit aici un astfel acum, fișierul misterios:
Cum de a proteja zona de administrare a site-ului de hacking?
Vreau să vorbesc în detaliu despre metoda de protecție, care ma folosit recent. Acesta constă în a nega accesul la dosare în cazul în care fișierele sunt stocate site-ul panoului administrativ. Interdicția este stabilită cu ajutorul .htaccess remarcabile l-am găsit, că, de fapt, vă permite să monitorizeze de la distanță și de a gestiona setările, Web Server care rulează site-ul dumneavoastră. Cu toate acestea, el poate face acest lucru în mod selectiv.
Toate directivele în htaccess prescrise, se vor aplica în mod exclusiv la directorul în care se află. Vrei să schimbi ceva în setările pentru întregul site? Apoi a pus .htaccess în directorul rădăcină. Ei bine, suntem interesați în stabilirea despre numai dosare cu fișiere admin, asa ca am pus-o acolo și. În administratorul Joomla va fi folderul în WordPress - wp-admin.
Cu toate acestea, o .htaccess nu putem face. Trebuie să ne folosim mai mult și .htpasswd, care vor fi stocate de conectare și parola pentru a accesa acest același dosar administrativ. Și parola nu este stocată în text clar, dar ca un cifru MD5. Recuperează parola nu va funcționa, dar atunci când introduceți combinația corectă în câmpul pentru parolă, serverul web va conta pentru această combinație MD5 și se compară cu cea stocată în .htpasswd. În cazul în care meciul de date, vi se va permite accesul în panoul de administrare Joomla sau WordPress, dar dacă nu, nu va fi permisă.
Asta e tot, iti dai seama doar planificate în viață. Este necesar, deoarece unele directive în .htaccess adăuga. Tu ce știi? Nu știu. Și cum, va trebui să depășească parola în ordine MD5. Problemă. Cu toate acestea, ea are o soluție destul de simplu. Oameni buni au organizat un serviciu online pentru a genera conținut pentru fișierul .htaccess .htpasswd și fișierul pe baza de utilizator și parola pe care ati inventat. Cu toate acestea, este necesar, de asemenea, calea absolută în dosarul administrativ pentru a specifica, dar este un fleac.
Deci, întâlni - mare și teribil proteja generatorul pentru site-ul administratorul. Este clar, nu? Ai venit, și cel mai bun la orice generator creează două combinații de litere dificile de parole, numere și simboluri, și apoi introduceți-le în cele două câmpuri. Scrie-le în jos, dar nu uita, sau pentru a împinge managerul de parole, sau nu introduceți panoul de administrare și au tot ceea ce este descris în această secțiune pentru a începe să faci din nou.
Aici, tepericha cale absolută trebuie să fie introdusă înainte de administratorul sau directorul wp-admin. Știi asta? Chiar dacă nu știi, nu contează. Conectarea la site-ul prin intermediul FTP, a crea un fișier de la rădăcină cu orice nume (da, chiar și cu url_path.php) și se adaugă la acesta este un astfel de cod simplu: