10 советов по безопасности для защиты вашего сайта от хакеров


Оглавление (нажмите, чтобы открыть):

12 способов защитить себя от хакеров в интернете

Серфинг в интернете должен быть не только полезным, но и безопасным. Всемирная паутина дает нам массу возможностей: связь с близкими, друзьями и коллегами; поиск необходимой информации; покупки через интернет-магазины; просмотр фильмов и видео; проигрывание музыки; чтение книг и многое-многое другое. Безусловно, широкий спектр возможностей — это прекрасно. При этом, не стоит забывать, что хакеры, кибермошенники, злоумышленники — не имеет значения, как их называть — они существуют и они норовят получить учетные данные, пароли, банковские реквизиты и другую конфиденциальную информацию.

Наверняка обладаете минимальными навыками по защите персональных данных и компьютера и, чтобы «освежить» эти знания или же узнать для себя что-то новое, предлагаем Вашему вниманию 12 способов защиты от хакеров в интеренете.

Пришла ссылка, которую Вы не ожидали получать? Не нажимайте на нее

Это важно! Не пренебрегайте данным правилом. Фишинг и фишинговые атаки никто не отменял, поэтому если пришло письмо, которое Вы не запрашивали и оно содержит в себе ссылку или вложение (даже если там просто картинка или текстовый файл) — ни в коем случае не переходите по ссылке и тем более не скачивайте файл.

Используйте антивирусное ПО

Согласно статистике, количество компьютерных вирусов существующих на данный момент превышает сотни миллионов — это невероятное количество вредоносного ПО, имеющее разную степень вреда и угрозы для компьютера и персональных данных пользователей. Антивирус — это не 100% гарантия защиты от вирусов, тем не менее, если желаете сохранить конфиденциальную информацию в безопасности — он должен быть на Вашем компьютере.

Давайте проведем небольшую аналогию для полного понимания ситуации: когда уходите из дома и закрываете входную дверь — это не дает 100% гарантии защиты от профессионального вора, поскольку открыть дверь можно и без ключа. Тем не менее чтобы в обитель не попал любой мимо проходящий человек — Вы должны ее закрывать.

Используйте разные пароли для каждой новой учетной записи

Вы не забыли золотое правило? «Один пароль — один аккаунт» — вот же оно, вот! Когда у Вас от 50-ти учетных записей на разных интернет-платформах — задача становится не то чтобы невозможной, но крайне сложной. В таком случае, Вам поможет статья на нашем сайте о том, как придумать надежный пароль и запомнить его. В крайнем случае, всегда есть возможность зафиксировать особенно ценные данные на листе бумаги и спрятать его в укромное место или же применить менеджер паролей (технология, которых использует шифрование данных и, в целом, является безопасной, однако имеет и свои недостатки).

Используйте социальные сети с умом

Прежде, чем разместить очередное сообщение или фотографии с указанием координат Вашего отдыха, подумайте, а стоит ли оно того? Является ли это сейчас целесообразно? А, возможно, Вам написала красивая девушка? Или парень? Вы познакомились. Уже неделю переписываетесь, казалось бы, как все здорово и какой замечательный человек. Внезапно разговор перешел на сексуальный подтекст? Решили удивить интернет-собеседника скинув ему интимную фотографию? Хорошо подумайте прежде, чем это сделать. Возможно, по другую сторону экрана не идеал сидит, а хакер, который выуживает информацию, чтобы в дальнейшем осуществить шантаж или уничтожить Вашу репутацию.

Удаленное управление устройством

Вы должны обязательно настроить возможность удаленного управления устройством (Find My Phone, Android Lost и т.п.). В случае утери или кражи устройства (телефона, смартфона, планшета) не забудьте воспользоваться функцией, чтобы попробовать отыскать его, если это не принесло должного успеха, воспользуйтесь этим же методом, чтобы удаленно стереть все личные данные. Таким образом, сможете защитить информацию от хакеров.

Пример того (короткий ролик), как это работает на платформе Android:

Покупка и оплата услуг только через безопасное соединение

Перед тем, как совершить покупку в очередном интернет-магазине или оплатить какие-либо услуги убедитесь в том, что в адресной строке браузера горит зеленый замок и соединение с сайтом осуществляется по-безопасному протоколу https. В случае, если этого не обнаружите — откажитесь от ввода банковских реквизитов и личных данных.

Всплывающие окна — зло. Игнорируйте их

Всплывающие окна несут в себе потенциальную опасность и угрозы для обмана пользователей. При клике на подобное окно, не исключено, что в фоновом режиме произойдет загрузка вредоносного ПО. Вы не заметите, но компьютер «заболеет» вирусом — не делайте этого, сохраните работоспособность технике и конфиденциальность Ваших данных.

Общественный Wi-Fi — хорошо, но не расслабляйтесь

Множество из общедоступных точек Wi-Fi передают информацию не применяя технологию шифрования, что подвергает Вас потенциальной угрозе. В сущности, любой, кто обладает достаточными навыками и соответствующим ПО может перехватить данные. Чтобы избежать этого рекомендуем Вам ознакомиться с нашей статьей о том, как защитить себя используя публичный Wi-Fi.

Несколько адресов электронной почты

Сервис бесплатной электронной почты позволяют регистрировать множество адресов, так почему бы Вам не воспользоваться этой возможностью? Применяйте один аккаунт исключительно для банковских услуг, покупок, оплаты. Второй — для социальных сетей, форумов, блогов. Третий — для учебы и т.п. Сделайте себе несколько разных адресов, тогда, в случае, утере одной почты не потеряете все, а только часть из возможного.

Не сохраняйте данные карты на сайта

Совершили покупку, а интернет-магазин предлагает сохранить данные карты, чтобы не требовалось их вводить в следующий раз? Нет! И еще раз — нет! Это очень рискованный шаг, не стоит его делать. Минута времени для того, чтобы еще раз прописать банковские реквизиты — это существенная мелочь по сравнению с тем, что Вы можете потерять если данные будут скомпрометированы.

Используйте двухфакторную аутентификацию

Многие популярные интернет-ресурсы предоставляют возможность использования двухфакторной аутентификации — не отказывайтесь. Для подтверждения входа в аккаунт нужно будет ввести не только логин и пароль, а еще и проверочный код, отправленный путем SMS-уведомления на Ваш телефон. Хакер может взломать пароль, но без наличия уникально-сформированного проверочного кода получить доступ к аккаунту у него не получится.

Сомневайтесь! Сомневайтесь во всем и везде.

Человек — самое слабое звено в цепочке безопасности. Выше описано 11 способов защиты от хакеров технически-направленных, однако не стоит упускать из виду тот факт, что мы все люди. У каждого из нас есть свои сильные и слабые стороны, есть чувства и эмоции. В той или иной ситуации мы можем реагировать по-разному и это нормально, тем не менее это может сыграть с нами злую шутку.

Хакер владеющий навыками социальной инженерии может оказать для нас куда большую угрозу, чем технически подкованный злоумышленник. Поэтому, когда в следующий раз Вам прейдет сообщения от близкого друга с просьбой занять ему денег и скинуть на карту, так как попал в форс-мажорную ситуацию — не торопитесь действовать, уделите время сомнению и проверьте достоверность информации.

5 азов кибербезопасности: как защитить себя от хакерских атак

Для хакеров представляют ценность не только аккаунты в социальных сетях и реквизиты банковских карт, но даже фотографии либо аудиозаписи в памяти устройства. С помощью ворованных учетных записей преступники рассылают спам или использовать их в мошеннических схемах. Кража финансовых данных может помочь злоумышленникам получить непосредственный доступ к вашим счетам. А личные фотографии — неплохой инструмент шантажа. Также известны случаи вымогательства денежных средств под угрозой гораздо больших штрафов за просмотр пиратских фильмов и прослушивание незаконно скачанной музыки. Существует пять простых правил, радикально повышающих безопасность каждого пользователя современных гаджетов.

Будьте осторожны при выборе сети

Беспроводные локальные сети могут быть настоящим рассадником вирусов и ловушек для ваших личных данных

Использование публичных Wi-Fi сетей является серьезным риском. Для обеспечения максимальной совместимости со всеми возможными устройствами, такие хот-споты, зачастую, используют не самое продвинутое шифрование. Взлом ключа общедоступной Wi-Fi сети и перехват внутри нее трафика не является архисложной задачей, тем более что существуют полностью автоматические программные решения для этого. Также никогда нельзя подключаться к незащищенной сети.

Наши смартфоны постоянно обращаются к серверам социальных сетей, мессенджеров и электронной почты. Чаще всего эти соединения зашифрованы, однако используя ряд хитростей и уязвимостей можно выделить из общего потока пакетов нужные и декодировать их. Помимо этого, злоумышленники разработали множество механизмов подмены сетевых адресов — приложение на телефоне будет думать, что обращается на требуемый сервер и отправит учетные данные.


  • Перед подключением к Wi-Fi сети в каком-либо заведении, не выбирайте ее наугад, обратитесь к сотрудникам и уточните имя (SSID). Мошенники могут разместить фальшивую сеть, которая похожа или вовсе имеет идентичное название.
  • Лучше отключить поиск Wi-Fi сетей в фоновом режиме, а также все возможные сервисы обмена известными сетями с другими устройствами. Существуют способы узнать, какие точки доступа ищет ваш телефон и «подсунуть» ему требуемые.
  • Идеальным вариантов будет установить VPN-клиент и подключиться либо к собственному серверу, либо к надежному платному. В этом случае вообще все соединения с вашего устройства будут идти по зашифрованному туннелю и перехватить их будет невозможно. Бесплатными VPN-сервисами пользоваться менее безопасно, так как чаще всего они зарабатывают на анализе трафика для рекламодателей.

Пароль должен быть надежным

Взломав один ваш аккаунт, злоумышленники попробуют все остальные, какие только смогут найти. И уже подобранный пароль они попробуют ввести в них в первую очередь.

Простой пароль, да еще и одинаковый для нескольких аккаунтов — просто мечта для любого киберпреступника. К сожалению, статистика показывает, что из года в год ситуация не улучшается и люди, прекрасно понимая все риски, продолжают использовать «QWERTY» или «ЙЦУКЕН». В большинстве случаев, мошенникам даже не приходится прибегать к сложным алгоритмам подбора: достаточно перебрать словарь типовых паролей. Придумывая учетные данные для своего аккаунта, стоит придерживаться следующих критериев:

  • Длина — не менее 10 символов, лучше больше 12
  • Состав — прописные и строчные буквы, цифры, специальные символы
  • Срок — лучше менять пароль не реже чем раз в квартал

Надежный пароль необязательно сложен в запоминании. Это может быть акроним, хитрая фраза, понятная только вам или даже слово на выдуманном языке. Избежать использования одинаковых паролей для различных учетных записей практически невозможно — уж слишком большое их количество появилось сейчас у каждого. Однако всегда можно хотя бы разбить пароли по группам: несколько ключей, каждый на свою группу сайтов, электронных почтовых ящиков или социальных сетей. Если вы боитесь забыть пароль и больше никогда не войти в учетную запись, просто внесите несколько резервных контактов. Большинство ресурсов позволяют это сделать и впоследствии восстановить доступ при необходимости.

Существуют бесплатные и надежные программные решения для хранения базы паролей. Такие приложения позволяют помнить только один набор учетных данных, а все остальные вводить автоматически. Также отличной идеей будет использовать двухфакторную авторизацию — когда подтверждение входа в учетную запись осуществляется с помощью одноразового кода. Сервис может присылать его в СМС, на электронную почту или в виде Push-уведомления на экране смартфона. Многие социальные сети, сайты и мессенджеры позволяют отслеживать все активные сессии, а также сообщают, если произошел вход в аккаунт. Проверьте, поддерживает ли ваше любимое приложение такой функционал.

Не переходите по незнакомым ссылкам

Многие современные браузеры имеют встроенные механизмы борьбы с фишингом (подменой веб-страниц)

Любопытство — не порок, но способно навредить. Новое письмо или сообщение в мессенджере, сопровождающееся интригующим текстом? Заманчивый диалог с привлекательным человеком, заканчивающийся предложением перейти в «более приятное место в сети»? А как насчет посмотреть девятый сезон «Игры престолов» онлайн, бесплатно, без регистрации и СМС? Лучше не делать этого, правда. Такие ссылки могут вести на сайт с вредоносным кодом, который атакует уязвимости в браузере. Или загрузит на устройство файл, который тоже захочется посмотреть, а в итоге получить «трояна».

Мошенники ловко подделывают электронные письма от банков, социальных сетей и государственных учреждений. Если не изучать такие документы внимательно, легко ошибиться. Ссылки, содержащиеся в подобных письмах, ведут к тому же — кража личных данных, заражение устройства или интеграция в ботнет. Последнее означает, что ваш компьютер или смартфон превратится в скрытого «зомби» и через него будет проходить поток информации, необходимой злоумышленникам для атаки на другие их цели.

Всегда стоит проверять, что именно написано в адресной строке браузера. Если в слове заменить всего одну букву, наш мозг при беглом взгляде не заметит ничего подозрительного. GoogIe.com вместо Google.com будет не только хуже искать информацию в сети, но и попробует своровать ваши данные. Джекпотом для мошенников станет ваша попытка войти в свою учетную запись на таком «липовом» сайте. Чаще всего киберпреступники подделывают веб-страницы банков и социальных сетей.

Будьте бдительны и осторожны в интернете

Люди добровольно сообщают о себе массу личной информации, которая может быть использована против них же

Как следует из предыдущего пункта, внимательность способна спасти от множества проблем. Не стоит бездумно доверять красиво и профессионально выглядящим сайтам свои персональные данные. Даже если формально ресурс не является мошенническим, он может на абсолютно законных основаниях передавать информацию о вас третьим лицам. Изучите пользовательское соглашение, договор оферты на предоставляемые услуги, а также все данные о юридическом лице, которое владеет веб-страницей. Если этих документов на сайте нет либо в них содержится информация о том, что ваши данные будут использованы в коммерческих целях, лучше уйти с этого ресурса. Предоставив такому сервису сведения о себе, вы, в лучшем случае, подпишетесь на рекламную рассылку или получите навязчивые звонки на телефон, а в худшем — даже можете потерять деньги.

Не размещайте в социальных сетях какую-либо подробную информацию о себе. Даже публикуя фотографии в открытом профиле Instagram можно ненароком сообщить злоумышленникам ценные данные. Это может быть не только финансовое положение, но и увлечения, история передвижений или социальные связи. В дальнейшем на основании этих сведений существует возможность построить схему для кражи паролей, денег и аккаунтов. Самая прибыльная и эффективная стратегия кибератак — социальная инженерия, а все сведения о человеке — ее ресурс. Большая часть взломов происходит не с помощью программных ошибок или подбора паролей, а за счет использования психологических особенностей людей, обладающих доступом к целевым данным.

Всегда используйте последние версии программного обеспечения

Устаревшая «прошивка» смартфона — первый гвоздь в крышку гроба безопасности личных данных

Современные программы невероятно сложны и постоянно совершенствуются. В приложениях постоянно обнаруживаются потенциальные уязвимости и ошибки, а задача разработчиков — оперативно их исправлять. В свою очередь, хакеры непрерывно ищут узкие места в программном обеспечении и создают механизмы атаки на них. С каждым новым обновлением наши любимые мессенджеры, социальные сети и банковские клиенты становятся не только функциональнее, но и безопаснее.

Регулярное обновление ПО — залог сохранности ваших персональных данных и финансов. Даже риск ухудшения работоспособности или неприятного изменения дизайна не стоит «угнанного» аккаунта в соцсети либо потери всех средств на счете. Аналогично работают и создатели операционных систем. Например, чтобы проверить актуальность подсистемы безопасности ОС Android, нужно зайти в настройки и найти пункт «О телефоне» или аналогичный. В нем должен быть подпункт «версии ПО», где присутствует строка вида «патч безопасности». Если он старше трех месяцев — стоит проверить обновления системы или обратиться к производителю. В крайнем случае, подобное устаревание операционной системы является серьезным поводом заменить гаджет, особенно когда он является основным телефоном и на нем установлены банковские приложения.

10 советов по безопасности в Интернете от экспертов AV-Test

При использовании компьютера, планшета или смартфона, защищенное подключении к Интернету является необходимым условием безопасности. Следующие 10 советов от экспертов лаборатории AV-Test помогут легко избегать онлайн-угрозы, которые поджидают в сети, а также позволят использовать интернет-сервисы и устройства без каких-либо проблем безопасности.

Лаборатория AV-Test предоставляет информацию о том, какие антивирусные продукты лучше всего защищают компьютеры, смартфоны и планшеты от угроз в Интернете.

1. Используйте новейшую версию антивирусной программы

Многие комплексные антивирусы предлагают эффективную защиту от троянов, вирусов и других вредоносных приложений. Сочетание антивирусной защиты, фаервола, спам-фильтра и других инструментов позволит защитить компьютеры, смартфоны и планшеты от дополнительных угроз из Интернета, например, от хакерских атак. Ознакомиться с самыми эффективными продуктами по результатам последних тестов можно на нашем сайте в разделе Обзоры и тесты антивирусов.

2. Своевременно устанавливайте обновления

Онлайн атаки обычно нацелены на бреши в безопасности операционной системы, браузеров и популярных приложений. С помощью обновлений разработчики постоянно устраняют уязвимости в своих продуктах. Именно поэтому важно регулярно обновлять программы, в том числе и антивирусы. Защитные продукты постоянно получают информацию об обнаружениях вредоносных программ в Интернете. Обновления для Android, MacOS и Windows должны выполняться регулярно и своевременно.

Мастер Йода рекомендует:  12 классных функций CSS3, которые вы наконец-то можете использовать

3. Используйте безопасные пароли

При выборе паролей, пользователи должны проявить свои творческие способности и должны создавать различные пароли для каждого аккаунта! Надежные пароль должен состоять минимум из 8 символов. Наиболее безопасная комбинация включает заглавные и строчные буквы, цифры и специальные символы. Легко запомнить пароли, состоящие из строки песни с добавлением года выхода композиции. Бесплатные менеджеры паролей также очень полезны при управлении большой коллекцией паролей. Естественно, никто не должен знать ваши пароли.

4. Зашифрованные подключения для безопасной передачи данных


По возможности используйте зашифрованные подключения каждый раз при посещении интернет-магазинов, интернет-банкинга или почтового сервиса. Адрес зашифрованных подключений начинается с «https» вместо «http». Кроме того, браузеры показывают иконку замка при безопасных подключениях.

5. Соблюдайте меры предосторожности при использовании общественных сетей Wi-Fi

Общественные сети Wi-Fi являются очень практичными, когда требуется зайти на сайт на короткое время или определить текущее местоположение с помощью смартфона. Тем не менее, они не подходят для интернет-банкинга или передачи конфиденциальной информации. Пользователь не может знать, кто администрирует сеть и какие меры защиты предпринимаются. Именно поэтому рекомендуется совершать финансовые транзакции в защищенной домашней сети и по возможности избегать доступа к важным аккаунтам, если устройство подключено к публичной точке доступа. Если это сделать необходимо, то используйте виртуальные частные сети (VPN). В этом случае все передаваемые данные будут надежно зашифрованы.

6. Осторожно обращайтесь с личными данными

Личная информация, которая предоставляется веб-сайтам и приложениям часто раскрывается и даже продается третьим лицам. Именно поэтому пользователи должны указывать как можно меньше личных данных, заполняя только требуемые поля. Обычно политика обработки данных указывается в общих условиях использования или в правилах соблюдения конфиденциальности онлайн сервисов, программ и приложений.

7. Остерегайтесь бесплатного

При использовании бесплатных приложений и веб-сервисов пользователь должен всегда задавать себе вопрос, какую пользу указанная им информация может принести разработчикам. Очень часто пользователи “платят” за использование бесплатных приложений и сервисов своими личными данными, которые монетизируются поставщиками услуг. Например, пользователь может получать нежелательную рекламу на указанные номера телефонов и адреса электронной почты.

8. Используйте надежные источники

Файлы, программы и приложения должны открываться или устанавливаться только если они загружены из достоверных источников. Новейшие версии браузеров и антивирусов предупреждают пользователя о посещении потенциально опасных ресурсов. Приложения лучше устанавливать из официальных магазинов приложений Google Play, App Store или из Магазина приложений Windows.

9. Регулярно создавайте резервные копии

Всегда существует риск потери данных, даже если устройство не потеряно, не украдено или не уничтожено. В случае с троянами-вымогателями, резервные копии могут снизить риск вымогательства со стороны злоумышленников. Нужно регулярно создавать резервные копии важных данных на внешние диски с помощью специализированных программ. Некоторые программы для резервного копирования распространяются бесплатно.

10. Правильно удаляйте данные

Прежде чем выбросить компьютер, телефон, жесткий диск или флешку, нужно надлежащим образом удалить все данные. Удаление данных с помощью собственных средств Windows, iOS и Android не является эффективной мерой, потому что в этом случае можно восстановить информацию. Безопасно удалить данные помогут специализированные программы, которые выполняют многократную перезапись случайным набором данных, что делает безуспешными попытки восстановления. Многие файловые шредеры распространяются бесплатно.

Нашли опечатку? Выделите и нажмите Ctrl + Enter

Как защитить и обезопасить свой сайт

Обезопасить веб-сайт – основная задача не только системного администратора или человека, выполняющего его роль, но и непосредственного владельца интернет-источника.

Страшно представить, к чему способно привести пренебрежение безопасностью интернет-ресурса. Это может быть, как ухудшение поисковых позиций сайта, так и падение репутации компании в глазах её потенциальных и действующих клиентов, их полный и безвозвратный уход. К примеру, если посетитель зайдет на веб-сайт организации и при работе с ним заразит свою операционную систему, впечатления останутся явно негативными, а в некоторых случаях, сложившаяся ситуация вызовет вспышку агрессии по отношению к владельцу веб-ресурса.

Кроме того, при заражении серьезным вирусом может произойти и полная потеря своего сайта, что приведет к значительным финансовым затратам на разработку нового взамен утерянного.

По этим причинам, одной из самых приоритетных задач предпринимателя или руководителя организации, будет являться обеспечение комплексной защиты и безопасности функционирующего веб-сайта.

Стоит отметить, что сам по себе вирус на сайте, только в редких случаях попадает на него случайным образом, в преобладающем большинстве – это часть преднамеренной атаки, в ходе которой вирусный код играет лишь определенную вспомогательную или (в некоторых случаях) исполнительную роль в комплексе, сопровождаемом и другими способами нападения. Таким образом, процесс защиты нужно выстраивать не только от вредоносных скриптов и кода, но и различных способов атак. К примеру, наиболее популярные среди хакеров Dos и Ddos-атаки являются первым шагом к нахождению уязвимостей, что повлечет за собой и процесс спланированного заражения или «вбросом» «трояна» – разновидности вируса, основная роль которой заключается в краже любого-вида данных.

Основные виды угроз

Несанкционированный доступ

Несанкционированный доступ к персональным данным пользователей, конфиденциальной информации, а также к любым сведениям, хранящихся в БД сайта. Способы получения доступности к базе веб-ресурса злоумышленниками могут быть, как с помощью заражения сайта вредоносным кодом, так и нахождения различного вида уязвимостей в системе безопасности.

Dos и Ddos-атаки, уже упомянутые нами ранее, хоть и не связаны с заражением источника вирусным кодом, но способны доставить большие проблемы владельцем интернет-ресурсов. До сих пор надежной 100% защиты от данного способа вредительства нет. Принцип основан на отправке массовых запросов с одного (Dos) или нескольких устройств, объединенных в сеть (Ddos), к серверу, на котором располагается веб-ресурс. В результате, система уходит в защиту (выдаётся код ошибки) или она «подвисает», что даёт возможность обнаружить «дыры» (на языке хакеров, обозначают уязвимости) для дальнейших действий, в том числе и загрузки вируса-трояна, который будет воровать и/или перенаправлять конфиденциальные важные данные своему «хозяину». Dos и Ddos атаки являются самыми популярными способами проверки защиты интернет-ресурса, потому что связаны не только с кражей информации, но и с каким-либо другим видом вредительства.

Все способы защиты от данного вида атак связаны с грамотной настройкой серверного оборудования и установленного на нем программного обеспечения. Выбор надежного хостинг-провайдера является ещё одной важной и неотъемлемой частью комплексной системы защиты. Запрет на приеме данных от пользователей, имеющих зарубежные IP-адреса, позволит затруднить деятельность злоумышленников или выиграть время.

Стоит также упомянуть и SQL-инъекции, то есть запросы через адресную строку (используя GET-параметры) непосредственно к базе данных. Применив специальную комбинацию sql-запроса и при допущении данной возможности со стороны сайта, злоумышленники смогут получить полный доступ к базе данных (БД), в том числе возможность скачать, удалить, изменить.

Чтобы защититься от данного способа манипулирования БД вашего веб-сайта, потребуется использовать в коде только параметризованные запросы, хранимые процедуры, регулярные выражения, функции блокировки и отключить вывод сообщений об ошибке. Важно, чтобы доработкой системы безопасности занимался опытные веб-мастер и программист (не ниже уровня «Middle»). Не пытайтесь это сделать самостоятельно без соответствующих познаний, так это может нарушить целостность работы системы и приведёт к выходу веб-ресурса из строя.

XSS-атака заключается в «краже» информации другого уровня – «файлов Cookies», что позволит получить доступ к информации пользовательских аккаунтов. Способ действия основан на внедрении на страницу веб-сайта кода-скрипта (js), который будет запущен автоматически при входе на сайт пользователем. В большинстве случаев, используется взлом сервера, на котором хранится сайт, или происходит его заражение вирусом. При совершении XSS-атаки злоумышленники могут не только красть данные пользовательских аккаунтов, но и перенаправлять их на другие веб-сайты, открывать дополнительные окна, заражать ПК пользователей. Способы защиты заключаются в закрытыи возможности отправки в БД параметров POST и GET запросов напрямую, без предварительной проверки, а также те меры закрытия уязвимостей, которые применялись для инъекций-sql. Стоит отметить и необходимость реализации проверки заполняемых данных в формах сайта на наличие запрещённых символов и кода.

Со стороны владельца веб-сайта нужно быть всегда готовым к такому роду атак, особенно когда речь идет о высококонкурентной нише, где каждый привлекаемый клиент идёт «на вес золота».

Блокировка или ограничение доступности веб-сайта

Блокировка или ограничение доступности веб-сайта в интернете — ещё одна распространенная проблема и угроза, с которой периодически сталкиваются компании различного уровня.

Ведёт за собой и ухудшение позиций в поисковых выдачах «Яндекса» и «Google».

Вредоносный код может попасть на сайт, как благодаря преднамеренным спланированным атакам, так и случайным образом, например, переняв вирус с ПК администратора, занимающегося его управлением и обслуживанием.

Заражение сайта

Заражение сайта с целью получения возможности атаки на пользователей сайта и дальнейшее распространение вируса в интернете. Как правило, связан с мошенническими действиями, основная цель – посетители веб-сайта и их устройства. В большинстве случаев, зараженный веб-ресурс является всего лишь переносчиком, запускающим специальный скрипт, который и распространяет вирусный код на устройства пользователей. Кроме вредительской деятельности, может осуществлять функции по сбору любого рода информации с ПК, ноутбуков, смартфонов и планшетов (чаще всего номера банковских карт и данные приложений от клиент-банка).


Специфические угрозы

Можно отметить и ещё несколько видов угрозы – «Специфические». Они не связаны напрямую с вирусным заражением, но способны значительно навредить бизнесу компании. Первый из них, — это «фишинг», который заключается в создании и размещении на сторонних интернет-площадках копии сайта с формами для ввода данных. Цель данной деятельности – кража конфиденциальных персональных данных посетителей и клиентов компании. Страшно представить, к чему способно привести попадание на копию сайта, полностью повторяющую «Сбербанк Онлайн». Единственная защита от фишинга – внимательность пользователей. Хоть и все популярные системы ведут борьбу с данным видом угроз, в интернет-сети периодически всплывают сайты-двойники.

Другим видом угрозы для сайта компании является массовая закупка внешних ссылок низкого качества на веб-сайт конкурента, что загонит его под «фильтр поисковых систем». Часто падение позиций в органической выдаче связывают с действием вредоносного кода, хотя на самом деле причина может быть именно в данном факторе. Чтобы защититься, регулярно следите за позициями веб-сайта, просматривайте сведения в панелях «Вебмастера». Особое внимание уделяйте такому показателю, как ТИЦ. Его неоправданно быстрый и резкий рост, как правило, и вызван происками злоумышленников.

Как узнать заражён ли вирусом сайт?

Первым сигналом того, что веб-ресурс инфицирован – бурная и острая реакция при его посещении со стороны «штатного» антивируса, установленного на ПК. Другим настораживающим фактором может являться резкое ухудшение позиций сайта в органической выдаче. Возможно также появление предупредительной надписи в сниппете веб-сайта о том, что источник заражен (на страницах появляется неестественный ему текст), работа и прогрузка страниц отличаются «от стандартных».

Чтобы проверить веб-ресурс, можно использовать средства сервисов «Яндекс Вебмастер» и «Google Webmaster», или с помощью сервиса: rescan.pro

Инструменты «Вебмастера» диагностируют веб-сайты регулярно и отображают статус с режиме реального времени.

После проверки сервисом отобразится отчёт с подробной информацией о состоянии сайта.

Многие хостинг-площадки имеют встроенный антивирус, который легко можно запустить всего за несколько кликов.

Ещё одним признаком наличия вредоносного кода, является присутствие постороннего тега «iframe».

Как защитить сайт от вирусов

Делать регулярные резервные копии веб-ресурса. Важно, чтобы данные хранились на протяжении 6 месяцев, чтобы при заражении можно было «откатить» состояние до уровня, предшествующего времени возникновения данной проблемы.

Использовать надежные сложные пароли.

Установка защиты от «брута» (перебора комбинаций с целью определения подходящего) пароля, включение ограничения количества попыток ввода.

Для защиты доступа на выделенный сервер или хостинг, используйте двухуровневую процедура входа, с смс-информированием.

Используйте надежный антивирус на рабочем ПК, с которого осуществляется работа с файлами на сервере.

Запретите доступ с IP-адресов, по геоопределению не относящиеся к РФ.

Подключить протокол https.

Использовать отличный от стандартного способа входа, адрес для захода в панель-администрирования. Как правило, на популярных системах использованы http://site.ru/admin.php или http://site.ru/manager.php. Поменяв путь к доступу, усложнится задача для происков злоумышленников.

Выполнить запрет на ввод кода и спецсимволов в формах сайта.

Не пересылать данные для входа на сайт и сервер/хостинг через корпоративную почту с общим доступом работников, а также через мессенджеры, социальные сети, sms.

Использовать надежного хостинг-провайдера, желательно, со встроенными средствами антивирусной защиты. Стоит сразу отказаться от бесплатных тарифов, надежность и безопасность которых желает лучшего.

Пользоваться методами защиты базы данных от sql-инъекций, XSS-атак.

По возможности отказаться от использования «самодельных» движков, систем управления контентом и администрирования сайта, так как могут наблюдаться колоссальные проблемы с точки зрения уязвимости веб-ресурса, за исправление которых придётся заплатить значительную сумму денег, потому что веб-программисты не любят работать с «чужим» кодом, особенно, если он не профессионально написан и в нём много «мусора».

Если проект разработан или ещё разрабатывается на каком-либо фреймворке, привлеките к работе специалиста по информационной безопасности и защите. Это снизит риск обнаружения «дыр» (уязвимостей) хакерами со стороны веб-сайта (полностью исключить невозможно, так как даже на самую надежную систему, может найтись возможность преодоления системы безопасности профессиональным интернет-взломщиком).

Что делать, если сайт заражен?

Если хостинг поддерживает антивирус, воспользоваться им, запустив сканирование.

Ограничить доступ к интернет-ресурсу, установив «заглушку» — защиту или отключить сайт в панели администрирования. Если данное действие не сделать, Вы рискуете навредить посетителям сайта, в том числе и вашим постоянным клиентам.

Воспользоваться, сохраненным ранее, «бэкапом» до момента заражения и восстановить сайт к исходной точке. В большинстве случаев, если антивирус не смог помочь, восстановление – самый надёжный способ устранения проблемы.

Проверьте наличие вредоносного кода во всех файлах вручную – если обладаете данными навыками, если нет – поручите штатному или удаленному (стороннему) веб-специалисту. Обращайте внимание на теги , а также файлы JS, которые являются наиболее привлекательными с точки зрения вредоносного кода. Если используется CMS, то проверку стоит проводить не только в основных файлах, но и дополнительных, в том числе других тем и шаблонов.

Проверьте базу данных и её целостность, наличие вируса в ней.

Ограничьте права доступа остальным пользователям, удалите «подозрительных».

Установите и устраните причину заражения, чтобы избежать повторного попадания вредоносного кода.

По окончании включите сайт, проверьте его ещё раз с помощью стороннего сервиса-антивируса и инструментов «Вебмастера» в «Яндексе» и «Google».

В заключении, хотелось бы отметить один важный факт со стороны интернет-безопасности: к любой атаке нужно готовиться заранее, прорабатывая систему безопасности комплексно, не пренебрегая нюансами, так как именно благодаря им и происходит взлом с проникновением на ваш веб-ресурс.

Не жалейте денежных средств на консультации со специалистами в данном направлении, так как их своевременная помощь может спасти вашу деловую репутацию, уберечь от серьезных финансовых и других проблем. Не забывайте и про защиту ПК, с которого производится управление и администрирование ресурса, своевременно и регулярно обновляйте антивирусное программное обеспечение.


10 советов по безопасности для защиты вашего сайта от хакеров

Вы можете думать, что ваш сайт не имеет смысла взламывать, однако веб-сайты постоянно находятся под угрозой взлома. Вот 10 наших советов, которые помогут вам сохранить ваш сайт в безопасности.

  • Оцените публикацию
    Сайтостроение от А до Я
  • Настрочить жалобу в спортлотоsmartZone
  • Распечатать

Похожие публикации

Всплывающие уведомления в стиле Facebook с помощью CSS и Jquery

Вы хотите добавить на свой сайт элементы интерфейса Facebook? В этой статье мы расскажем, как создать всплывающие уведомления в стиле Facebook с помощью Jquery, HTML и CSS, и вы поймете, как элементы CSS помогут вам улучшить дизайн вашего сайта. Рубрика: Вебмастеру

Безопасность поисковой системы «Спутник» обеспечит «Лаборатория Касперского»

Новые технологии защиты, созданные одним из лидеров мировой индустрии веб-безопасности, «Лабораторией Касперского», теперь будут использоваться для проверки поисковой выдачи на государственном портале «Спутник». Рубрика: Безопасность в Интернет

8 советов, которые помогут вам правильно составлять Sass

С помощью Sass создаются синтаксически безупречные таблицы стилей (Syntactically Awesome Style sheets), или, по крайней мере, предполагается, что он должен это делать. Рубрика: CSS

Ускорение вашего сайта с помощью HTTP сжатия

Прочитав эту статью вы узнаете, почему так важно использовать сжатие, и какое влияние оно может оказывать на ваш веб-сайт. Эта статья основана на двух ключевых идеях, и мы рассмотрим. Рубрика: Протоколы Источник: Сайтостроение от А до Я

FancyScroll.js: придаем сайту эффект прокрутки при выходе за пределы как в iOS и Andro >Сегодня я решил создать плагин под названием FancyScroll.js, который позволит вам добавить такие эффекты на ваш веб-сайт. Вы можете применить эффекты при выходе за пределы, как для всей страницы, так и только к некоторым элементам overflow:scroll div Рубрика: javascript Источник:
Начало работы с WordPress: ручная установка WordPress

И вот, наконец, вы сидите и смотрите на письма, пришедшие на ваш email: одно с данными для управления доменным именем, а другое – с данными вашего веб-сайта. Теперь вы собираетесь установить на свой сайт WordPress, но не знаете, как это сделать. Рубрика: CMS и движки для сайтов . Источник:

Безопасность сайта — полное руководство по безопасности вашего сайта

Безопасность и защита сайта — самый важный момент при создании сайта. Эксперты прогнозировали, что в 2020 году бизнес-сайты станут жертвами вымогателей со скоростью одного сайта каждые 14 секунд. В 2020 году ущерб сайтам, атакованным киберпреступниками, превысил 5 миллиардов долларов. Каждый год эти атаки увеличиваются в размерах, и, прежде чем вы узнаете о них, Ваш сайт уже может быть атакован.

WordPress, также является самой популярной системой управления контентом (CMS) и поддерживает более 40% веб-сайтов. Однако, по мере роста, хакеры обратили внимание и начинают специально ориентироваться на сайты WordPress. Неважно, какие типы контента предоставляет ваш сайт, вы не исключение.

Если вы не примете определенные меры предосторожности, вас могут взломать. Как и все, что связано с технологиями, вам нужно проверить безопасность своего сайта. Я думаю, что каждый из Вас усердно работал над своим сайтом (и своим брендом), именно поэтому важно не торопиться, чтобы защитить его с помощью этих основных советов по защите от хакеров!

Содержание статьи:

Почему нужно держать свой сайт в безопасности

Каждый сайт потенциально уязвим для атак. Поэтому Вы должны держать свои сайт в безопасности. Незащищенный сайт может быть взломан. Данные ваших клиентов могут быть украдены. Это может привести к потере дохода, дорогостоящему ремонту веб-сайта и многим другим проблемам.

Вы можете защитить свой сайт от хакеров. Я начну с нескольких основных описаний типов атак, с которыми вы можете столкнуться. Далее следуют одиннадцать советов по защите вашего сайта.

Потенциальные веб-атаки — фишинг и прочие

Атаки могут быть разные, давайте рассмотрим некоторые из них. Самые распространенные:

Фишинговые атаки используются, чтобы заставить людей выдавать свои личные данные, такие как номер социального страхования или пин-код банковского счета. Эти атаки нацелены на широкую аудиторию в надежде обмануть как можно больше людей. Как правило, фишинг осуществляется по электронной почте.

Например, хакер отправляет электронное письмо, которое выглядит так, как будто оно пришло из банка, в результате чего получатель нажимает на ссылку. По этой ссылке человек попадает на стандартный банковский сайт. Но это сайт, создан только для того, чтобы выглядеть как настоящий. Тот, кто попадает на одну из этих уловок и заполняет форму на этом сайте, полностью отдает свою информацию злоумышленнику.

Мастер Йода рекомендует:  5 способов взлома страницы ВКонтакте

Spear-фишинг похож, но он нацелен на одного конкретного человека, а не на много людей в целом. Хакеры выбирают конкретную цель, а затем пытаются заставить их выдать свою конфиденциальную информацию.


Китобойный промысел (whaling phishing — «китобойная атака») похож на фишинг. Только в этом случае критический руководитель, компании под прицелом. Этот человек называется «кит» из-за его влияния и власти. Хакеры пытаются заманить китов, надеясь получить доступ к веб-сайтам компании и банковским счетам на высоком уровне.

Серверные вымогателей

Ransomware поражает всех, от среднего юзера до тех, кто управляет веб-сайтами. Эти атаки состоят в том, что хакер берет на себя управление пк и отказывает пользователю в доступе даже к самым простым командам. Серверный вымогатель работает аналогично, за исключением того, что хакер получает контроль над сервером веб-сайта. Доступ к каждому веб-сайту на этом сервере теряется до тех пор, пока хакеры не будут переопределены или не будут выполнены их требования.

IoT Уязвимости

IOT означает Интернет вещи. Термин относится к большому количеству устройств, которые подключаются к Интернету, таких как смартфоны и планшеты, которые подключаются к Интернету и имеют доступ к сайтам.

Основными уязвимостями IoT являются проблемы конфиденциальности, ненадежные мобильные интерфейсы и недостаточная безопасность мобильных устройств. Все это происходит от веб-сайтов, на которых не установлены правильные меры защиты, или сайтов, которые не оптимизированы для мобильных устройств.

Хакеры могут воспользоваться этими проблемами и использовать их для получения доступа к вашему веб-сайту.
Обеспечение безопасности вашего сайта и защита от взлома может быть достигнуто за 11 простых шагов.

1. Используйте безопасные пароли для доступа к сайту

На хорошем сайте, защита начинается с безопасного пароля. Серверная часть (сторона разработчика) каждого веб-сайта защищена паролем. Хоть и заманчиво использовать легко запоминающийся пароль, все же этого делать не стоит. Вместо этого создайте чрезвычайно сложным для всех, кроме вас пароль, чтобы Вы могли его запомнить.

Пароли являются очень важной частью безопасности сайта и, к сожалению, часто упускаются из виду. Если вы используете простой пароль, например, «1246895128, rty987, пароль», вам нужно немедленно изменить его. Хоть этот пароль может быть и легко запомнить, его также очень легко угадать. Опытный юзер может легко взломать ваш пароль и войти без особых проблем.

Важно, чтобы вы использовали сложный пароль или, что еще лучше, пароль, который генерируется автоматически с различными числами, бессмысленными комбинациями букв и специальными символами, такими как% или ^.

2. Будьте внимательны при открытии писем

Многие фишинговые атаки появляются в электронных письмах. Хакеры также рассылают вирусы по электронной почте. Каждый из ваших сотрудников (включая вас) должен соблюдать осторожность при открытии электронных писем от людей, которых вы не знаете, особенно если в этих письмах есть вложения. Хакер может поставить под угрозу безопасность сайта с помощью вируса, нанося ущерб вашему сайту.

Даже вложения в письме, которые отсканированы и объявлены «чистыми», могут содержать вредоносные вирусы. Научите своих сотрудников соблюдать меры безопасности при открытии электронных писем с вложениями.

3. Установите свежие обновления программного обеспечения

Производители поддерживают операционные системы и программное обеспечение в рабочем состоянии с регулярными обновлениями. Может быть заманчиво отключить эти обновления, чтобы сэкономить время. В конце концов, многие из них требуют полного перезапуска системы и некоторого времени установки, что снижает производительность.

Это опасная практика, поскольку эти обновления содержат важные новые исправления безопасности. Вам необходимо устанавливать их, поскольку они доступны для того, чтобы обеспечить безопасность всей вашей системы.

4. Используйте безопасный хостинг сайта

Ваш веб-хостинг играет жизненно важную роль в обеспечении безопасности каждого веб-сайта под их юрисдикцией. Выберайте свой с умом. Прежде чем строить или перемещать свой сайт на хост, спросите их об их платформе безопасности. Лучшие хосты работают или нанимают экспертов в области интернет-безопасности. Они понимают важность того, что сайты их клиентов не подвержены атакам.

Убедитесь, что они включают опцию резервного копирования. Вы можете потерять ценную информацию из-за хакера. Легче восстановить ваш сайт из резервной копии, чем с нуля. Также должны быть доступны управляемые параметры, такие как Безопасность, как услуга (Saas).

5. SSL-сертификат защищает информацию

Буквы в «https» означают «Безопасный протокол передачи гипертекста». Любая веб-страница, которая использует этот протокол, является безопасной. Эти страницы существуют на определенном сервере и защищены. Любая страница, которая содержит логин или запрашивает платежную информацию, должна находиться в этой защищенной системе. При этом можно настроить весь ваш сайт, используя https.

6. Безопасные разрешения для папок

Веб-сайты состоят из папок и файлов, которые содержат важную информацию, необходимую для правильной работы вашего сайта. Все они живут на вашем веб-сервере. Без правильной защиты конфиденциальности и мер безопасности, любой человек с нужными навыками может получить доступ к этой информации и просмотреть ее.

Отключите такой доступ, назначив разрешения безопасности для этих файлов и папок. Зайдите в файловый менеджер вашего сайта и измените атрибуты файлов.

В разделе «числовые значения» установите разрешения для этих параметров:

  1. 644 для отдельных файлов;
  2. 755 для файлов и каталогов;

7. Запустите регулярные проверки безопасности сайта

Хорошая проверка безопасности может выявить любые проблемы с вашим сайтом. Используйте сервис веб-мониторинга для автоматизации этого процесса. Вам необходимо запускать тестирование вашего сайта каждую неделю (как минимум). У служб мониторинга есть программы, которые делают это легко.

Как только вы получите отчет, обратите пристальное внимание на результаты. Это все уязвимости на вашем сайте. Отчет должен содержать подробную информацию о них. Это может даже классифицировать их в соответствии с уровнем угрозы. Начните с самых вредных, а затем исправьте все остальные проблемы.

8. Обновите веб-сайт платформы и скрипты

Я уже рассматривал важность обновления программного обеспечения вашего пк. То же самое относится и к вашей платформе веб-хостинга, и к вашим плагинам и скриптам, таким как Javascript.

Если вы используете WordPress, убедитесь, что вы используете самую последнюю версию. Если это не так, обновите ее, нажав на кнопку в левой верхней части экрана. Крайне важно поддерживать актуальность сайта WordPress, чтобы избежать возможных угроз.

Для людей, которые не используют WordPress, проверьте панель инструментов ваших веб-хостов на наличие обновлений. Многие из них сообщат вам, какую версию своего программного обеспечения вы используете, и сообщат вам о любых исправлениях безопасности.


Вы также должны проверять свои плагины и инструменты. Большинство плагинов WordPress создаются сторонними компаниями (или частными лицами). Хоть они и безопасны, по большей части вы полагаетесь на третьи стороны для поддержания их параметров безопасности в актуальном состоянии. Выделите время для проверки обновлений плагинов, по крайней мере, один раз в неделю, и следите за всем, что может показаться странным, например, плагином, который перестает работать правильно. Это может быть признаком того, что он скомпрометирован.

9. Установите плагины безопасности

Тут есть несколько вариантов, в зависимости от того, какой тип сайта вы используете. Для тех, кто основан на WordPress, есть специальные плагины безопасности WordPress, которые обеспечивают дополнительную защиту. Если ваш сайт не на WordPress, то защитите его с помощью такой программы, как SiteLock. Плагины безопасности предотвращают проникновение хакеров на ваш сайт. Даже самые современные хостинговые платформы имеют некоторую уязвимость. Эти плагины гарантируют, что никто не сможет ими воспользоваться.

SiteLock постоянно отслеживает ваш сайт на наличие вредоносных программ и вирусов. Он также закрывает эти уязвимые лазейки, таким образом предоставляя дополнительные обновления безопасности.

10. Остерегайтесь атак XSS

XSS — это межсайтовый скриптинг. Атака XSS — это когда хакер вставляет вредоносный код на ваш сайт, который может изменить свою информацию или даже украсть информацию о пользователе. Как они входят? Это так же просто, как добавить код в комментарии блога.

Следует предотвращать атаки XSS, вставив заголовок CSP в код своего сайта. CSP обозначает Политику безопасности контента. Он ограничивает количество Javascript на вашем сайте, не позволяя запускать иностранные и потенциально зараженные сценарии. Установите их так, чтобы работал только Javascript, добавленный на страницу вами или вашим веб-разработчиком.

11. Остерегайтесь SQL-инъекций

SQL — это язык структурированных запросов. Это тип кода, который управляет и позволяет людям искать информацию в базах данных.

Этот код может удалить информацию и затруднить поиск на веб-сайте. Хакеры получают доступ через параметры URL и поля веб-форм и наносят ущерб. Для того чтобы этого не происходило, вам следует настроить параметризованные запросы и обязательно создать безопасные формы.

Безопасность для обладателей сайта на WordPress

Безопасность WordPress является одной из важнейших частей веб-сайта. Если вы не поддерживаете безопасность WordPress, хакеры могут легко атаковать ваш сайт. Поддержание безопасности вашего сайта не сложно и может быть сделано без затрат за копейки. Некоторые из этих решений предназначены для опытных пользователей, но если у вас есть какие-либо вопросы, пишите в личку, подскажу.

Скройте файлы wp-config.php и .htaccess

Несмотря на то, что это сложный процесс повышения безопасности вашего сайта, если вы серьезно относитесь к своей безопасности, рекомендуется скрыть файлы .htaccess и wp-config.php вашего сайта, чтобы хакеры не получили к ним доступ.

Мы настоятельно рекомендуем, чтобы эта опция была реализована опытными разработчиками, так как необходимо сначала сделать резервную копию вашего сайта, а затем действовать с осторожностью. Любая ошибка может сделать ваш сайт недоступным.

Чтобы скрыть файлы, после резервного копирования необходимо сделать две вещи: во-
первых, перейдите в файл wp-config.php и добавьте следующий код:

Хотя сам процесс очень прост, важно убедиться, что у вас есть резервная копия перед началом, на случай, если что-то пойдет не так в процессе.

Важно ограничить попытки входа в админку

По умолчанию WordPress позволяет пользователям пытаться войти в систему столько раз, сколько они захотят. Хотя это может помочь, если вы часто забываете, какие буквы являются заглавными, это также открывает вам возможности для атаки методом грубой силы.
Ограничивая количество попыток входа в систему, пользователи могут ограниченное количество попыток, пока они не будут временно заблокированы. Ограничивает ваши шансы на попытку грубой силы, поскольку хакер блокируется, прежде чем он сможет закончить свою атаку.

Вы можете легко включить ее с помощью плагина безопасности для WordPress.

Измените свой URL для входа в WP — другой адрес админки

По умолчанию для входа в WordPress используется адрес «yoursite.com/wp-admin». Оставив его по умолчанию, вы можете стать целью атаки методом перебора, чтобы взломать вашу комбинацию имени пользователя и пароля. Если вы принимаете пользователей для регистрации подписки, вы также можете получить много спам-регистраций. Чтобы предотвратить это, вы можете изменить URL-адрес для входа администратора или добавить секретный вопрос на страницу регистрации и входа.

Совет для профессионалов: Вы можете дополнительно защитить свою страницу входа, добавив плагин для двухфакторной аутентификации в свой WordPress. Когда вы пытаетесь войти в систему, вам потребуется дополнительная аутентификация, чтобы получить доступ к вашему сайту — например, это может быть ваш пароль и электронная почта (или текст). Это расширенная функция безопасности, предотвращающая доступ хакеров к вашему сайту.

Не используйте Nulled Themes для своего сайта

Темы WordPress Premium выглядят более профессионально и имеют больше настраиваемых параметров, чем бесплатная тема. Можно быть уверенным, что вы получаете то, за что платите. Премиум-темы написаны высококвалифицированными разработчиками и протестированы для прохождения нескольких проверок WordPress прямо из коробки. Нет никаких ограничений в настройке вашей темы, и вы получите полную поддержку, если что-то пойдет не так на вашем сайте. Больше всего вы будете получать регулярные обновления темы.

Но есть несколько сайтов, которые предоставляют обнуленные или взломанные темы. Обнуляемая или взломанная тема — это взломанная версия премиум-темы, доступная незаконным путем. Они также очень опасны для вашего сайта. Эти темы содержат скрытые вредоносные коды, которые могут уничтожить ваш сайт и базу данных. Более того, зарегистрировать ваши учетные данные администратора. Всегда избегайте обнуленные темы.

Отключите редактирование файлов

Когда вы настраиваете свой сайт WordPress, на панели инструментов есть функция редактора кода, которая позволяет редактировать тему и плагин. Доступ к нему можно получить, зайдя в Внешний вид> Редактор. Другой способ найти редактор плагинов — перейти в меню «Плагины»> «Редактор».

Как только ваш сайт заработает, мы рекомендуем отключить эту функцию. Если какие-либо хакеры получат доступ к вашей панели администратора WordPress, они могут внедрить тонкий, вредоносный код в вашу тему и плагин. Часто код бывает настолько тонким, что вы можете не заметить ничего плохого, пока не станет слишком поздно.
Чтобы отключить возможность редактирования плагинов и файла темы, просто вставьте следующий код в файл wp-config.php .

Установите плагин безопасности WordPress на свой сайт

Требуется много времени для регулярной проверки безопасности вашего сайта на наличие вредоносных программ, и если вы не будете регулярно обновлять свои знания о методах кодирования, вы можете даже не осознавать, что смотрите на вредоносную программу, записанную в коде. К счастью, разработчики поняли, что не все вебмастера являются разработчиками, и выпустили плагины безопасности WordPress, чтобы помочь.

Плагин безопасности заботится о безопасности вашего сайта, сканирует на наличие вредоносных программ и контролирует ваш сайт 24/7, чтобы регулярно проверять, что происходит на вашем сайте.

В заключение

Теперь вы знаете, как защитить сайт от хакеров! Надеюсь, теперь вы понимаете важность создания безопасного сайта. Я думаю, что теперь вы понимаете эти одиннадцать необходимых шагов, которые помогут Вам, не дать хакерам получить доступ к его коду и элементам.

К примеру, если Вы оставляете сайт уязвимым для хакеров. В этом случае, они могут просто разрушить ваши средства к существованию, в особенности если вы занимаетесь веб-бизнесом. Все, что требуется, — это один шаг, и собранная годами информация о клиентах, может быть скомпрометирована. Это делает вашу компанию низко-авторитетной и вызывает негативное внимание. Вы потеряете клиентов, многие из которых могут не вернуться. Не позволяйте этому сценарию случиться. Вместо этого берите упор на безопасности сайта, используя советы, представленные в этой статье.

10 советов по безопасности в Интернете


Саныч

Ветеран

Если вы много времени проводите в Сети, то полноценная защита просто необходима. «Руформатор» подготовил десять советов о том, как сделать веб-серфинг безопасным.

Совет №1. Не ходите по подозрительным ссылкам.

Если вам пришло письмо от вашего банка с предложением обновить пароль, или с сайта «Одноклассники.ру» поступило уведомление о новом сообщении, не торопитесь открывать предлагаемые ссылки. Вместо odnoklassniki.ru вполне можно увидеть odnoсlassniki.ru или даже odnaklassniki.ru: разница всего в одной букве, и многие этого даже не замечают. Если вы проследуете по этой ссылке, то в худшем случае можете подцепить серьезный вирус, а в лучшем – просто лишитесь своего аккаунта на сайте.

Совет №2. Доверяйте антиспам-фильтрам электронной почты.

Как правило, они фильтруют практически все письма, обманом завлекающие вас на тот или иной хакерский сайт. И даже если вам все-таки пришло письмо с сообщением о выигрыше миллиона фунтов стерлингов, не кидайтесь радостно на стену с криками «Я богат!»: такие сообщения получают сотни тысяч пользователей по всему миру ежедневно. Великобритания давно бы разорилась, выплачивая каждому победителю по миллиону.

Совет №3. Установите комплексную систему защиты.

«Чистый» антивирус – вчерашний день. Сегодня актуальны так называемые «комплексные системы защиты», включающие в себя антивирус, файрволл, антиспам-фильтр и еще пару-тройку модулей для полной защиты вашего компьютера. Наиболее популярные – Kaspersky Internet Security, ESET Smart Security, Symantec Norton 360. И еще десяток других. Не экономьте на этих системах: $50-70 за годовую лицензию не сравнить с потерей важнейшей информации, которая может случиться по причине недостаточного уровня защиты вашего ПК. И не забывайте регулярно обновлять базы сигнатур: лучше всего настроить программу на автоматическое обновление.

Совет №4. Пользуйте браузерами Mozilla Firefox, Google Chrome и Apple Safari.

Львиная доля червей и вредоносных скриптов написаны под Internet Explorer и Opera. Первый до сих пор удерживает первую строчку в рейтинге популярности со своими 67% пользователей, но лишь потому, что он встроен в Windows. Opera очень популярна в России из-за ее призрачного удобства и реально большого числа настроек. Уровень безопасности сильно хромает как у одного, так и у второго браузера, поэтому лучше ими не пользоваться вовсе.
И не обращайте внимания на регулярно появляющиеся в прессе сообщения о том, что в Firefox больше всего уязвимостей. Во-первых, вы вряд ли будете это проверять, а во-вторых, если даже и так (что весьма сомнительно), ими почти никто не пользуется – настолько быстро разработчики ликвидируют эти «дыры».

Совет №5. Не верьте предложениям прочитать чужие SMS или посмотреть на «шокирующее видео секса с Семенович».

Периодически Рунет (в частности, «В Контакте») потрясают волны спамерского безумия: сейчас очень популярны сайты, предлагающие доступ к чужим SMS и распечаткам звонков, до них на пике славы были аудионаркотики, еще раньше — «программы, позволяющие заходить в чужие страницы, даже закрытые, под чужим именем». В общем, фантазия мошенников безгранична. Когда спадет волна SMS, придет что-нибудь другое.
Общее у всех этих фальшивок одно – вам предлагается нечто, нарушающее чье-то личное пространство якобы под большим секретом.
Люди любопытны и доверчивы, и именно излишняя доверчивость иногда приводит к большим бедам. В лучшем случае, захотев прочитать чужие SMS, можно лишиться 300-600 рублей на счету телефона – если нужно будет отправить сообщение на короткий номер для оплаты, в худшем – на компьютере поселится злобный вирус с такого сайта.
Запомните одну простую вещь: халявы не бывает. Ни один сотовый оператор не допустит, чтобы возможность просмотра распечаток звонков стала доступна кому попало через Интернет, а спецслужбы не буду смотреть сквозь пальцы на то, как настоящие аудионаркотики (а не та липа, которой на самом деле являются предлагаемые звуковые файлы) получают широкое распространение.

Совет №6. Купите Apple Macintosh.

«Маки» считаются самыми безопасными компьютерами, но вовсе не потому, что это какая-то «суперзащищенная» система (как любят утверждать ее фанаты). Просто под Mac написано в тысячи раз меньше вирусов по причине его малой распространенности по сравнению с ПК, а также из-за другой архитектуры.

Совет №7. Пользуйтесь лицензионным ПО.

Не стоит смеяться над этим или крутить пальцем у виска. Если вы только что скачали свеженький взломщик программы, запускаете его и сознательно игнорируете предупреждение антивируса, будьте готовы к тому, что можете поселить троян на свой компьютер. Причем, чем программа популярнее, тем выше такая вероятность. С другой стороны, антивирусы иногда ложно реагируют и на вполне безобидных взломщиков.
В общем, лучше не рисковать.

Совет №8. Делайте покупки только в проверенных онлайн-магазинах.
Если вы любите делать покупки онлайн с помощью пластиковой карты, магазин должен быть полностью безопасным. Если это малоизвестный магазин, лучше всего будет проверить его перед тем, как оставлять там какую-либо финансовую информацию. Самый простой путь – написать название или URL сайта в поисковиках и посмотреть, что пишут другие люди про этот магазин. Второй путь – установить Netcraft Toolbar (для Mozilla Firefox и Internet Explorer). Это небольшое бесплатное дополнение к вашему браузеру покажет потенциально опасный сайт и перекроет доступ к известному сайту мошенников (база данных пополняется постоянно).

Совет №9. Регулярно устанавливайте обновления программ.

Методы взлома постоянно совершенствуются, равно как и методы защиты. Представители Microsoft регулярно рапортуют о том, что их новый Internet Explorer еще безопасней предыдущего, да и уязвимости в Mozilla Firefox устраняются буквально в течение нескольких дней после их обнаружения. Своевременная установка обновлений касается любых программ, не только браузеров, хотя для последних надо это делать как можно быстрее.

Мастер Йода рекомендует:  Интервью с основателем EcmaSoft как работает компания по разработке мобильного ПО

Совет №10. С осторожностью относитесь к скачиваемым в Интернете файлам.

«И на старуху бывает проруха» — никто не гарантирует, что, скачивая программу даже на известном и уважаемом сайте, вы не подцепите очередной троян. Новые вирусы выходят быстрее, чем защита от них, и антивирусное ПО сайтов вполне может «проморгать» очередной хитрый вирус. Особенно небезопасно скачивать файлы из пиринговых сетей, а также приносить их на флешке неизвестно откуда. Совет один – обязательно сканируйте все новые файлы вашим антивирусом или комплексной системой защиты, а при подозрениях, что такая система не справляется – отправляйте подозрительный файл разработчикам в «Лабораторию Касперского», Eset или «Доктор Веб», чтобы там его исследовали по полной программе и дали вам уверенный ответ.

Information Security Squad

Безопасность сайта — это одна из самых важных, если не самая важная проблема для каждого владельца сайта, особенно для сайтов, которые хранят личные и финансовые данные клиентов.

Вам необходимо защитить свой сайт, чтобы защитить свой бизнес, свое присутствие в Интернете и своих клиентов.

Вот несколько советов, которые помогут вам защитить ваш сайт от взлома системы безопасности и возможных взломов.

Учись у лучших

Наш первый совет: учитесь у лучших.

Если вы действительно хотите знать, как сохранить свой веб-сайт и данные в безопасности, вы должны учиться у самых чувствительных онлайн-отраслей.

Сайты онлайн-банкинга, такие как lloydsbank.com, например, несут огромную ответственность за хранение конфиденциальных данных, касающихся их клиентов и их финансов.

Индустрия онлайн-гемблинга — еще одна чувствительная индустрия.

Например, чтобы играть в онлайн-казино на реальные деньги, например на winstar.com, игроки должны предоставить свою личную и финансовую информацию.

Интернет-казино должны гарантировать, что информация хранится в безопасной среде.

Вот почему эти отрасли используют новейшие и лучшие технологии для обеспечения безопасности своих веб-сайтов.

Выполните те же действия, что и в этих отраслях, или даже только в некоторых из них, и вы обеспечите безопасность своего веб-сайта.


Обновление ПО

Обновление вашего программного обеспечения может показаться чем-то очевидным, но вы будете удивлены, узнав, сколько администраторов сайтов пренебрегают этой простой задачей.

Вы должны иметь все программное обеспечение в актуальном состоянии.

Это включает в себя CMS, форум и операционную систему, которую вы используете.

Если у вас есть план хостинга, то он позаботится об операционной системе сервера, но вам все равно нужно будет обновлять стороннее программное обеспечение.

WordPress является прекрасным примером.

Всякий раз, когда вы входите в систему, WP сообщит вам о наличии ожидающего обновления.

Двойная проверка данных формы

Обязательно выполните проверку как на стороне сервера, так и на стороне браузера.

Браузер может обнаружить некоторые сбои, но их можно обойти.

Поместите меры, обеспечивающие проверку различных полей в форме на сервере и в браузере.

Политика загрузки файлов

Если вы разрешите пользователям загружать файлы на ваш сайт, это может вызвать серьезную угрозу безопасности.

Это может быть так, даже если это просто аватар пользователя.

Вполне возможно, что на ваш сайт загружен скрипт, который может сделать ваш сайт уязвимым для взлома.

Большинство графических форматов поддерживают разделы комментариев и могут содержать код PHP, который может выполнить ваш сервер.

Об этом следует помнить, если вы заинтересованы в том, чтобы пользователи могли загружать изображения на ваш сайт.

Решением этой проблемы является предотвращение прямого доступа к загруженным файлам.

Таким образом, загруженные файлы хранятся в папке, которая не находится в webroot.

Технология шифрования данных SSL

До недавнего времени веб-сайты использовали HTTP для передачи данных.

Проблема этого протокола заключалась в том, что он позволял третьим сторонам получать доступ к конфиденциальным данным, которые были переданы.

HTTPS — это более безопасная версия HTTP, которая использует технологию шифрования TLS или SSL для защиты передачи данных.

Сейчас это промышленный стандарт, и большинство веб-сайтов теперь используют протокол https.

Поставить SSL-шифрование легко, и вы можете получить его бесплатно при покупке домена.

Создание резервных копий вашего сайта и базы данных

Хотя эти меры должны помочь вам избежать взлома, у вас все равно должен быть план резервного копирования.

Резервное копирование вашего сайта и базы данных может быть автоматизировано.

Но это действительно спасает, когда дело совсем плохо.

Два города Флориды должны были заплатить 1,1 миллиона долларов хакерам, которые держали важные файлы в заложниках.

Если бы они сделали резервную копию своих данных, они могли бы легко восстановить все данные.

Возможно, у вашего хостинг-провайдера уже есть инструмент резервного копирования, но вы можете использовать стороннее программное обеспечение, чтобы сделать то же самое.

Если вы используете WP, то для резервного копирования файлов вашего сайта и базы данных можно использовать различные плагины, такие как BackupBuddy или UpdraftPlus.

Подводя итоги

Настройка надлежащей безопасности для вашего сайта поначалу может показаться хлопотной, но как только вы разберетесь, это может стоить того.


Эти меры безопасности защитят ваш сайт от взлома и обеспечат безопасность вашего сайта и баз данных.

Другие соответствующие руководства по безопасности:

Защита сайта от хакерских атак — Nemesida WAF

Современные реалии показывают постоянно растущие атаки на веб-приложения — до 80% случаев компрометации систем начинаются с веб-приложения. В статье будут рассмотрены наиболее распространенные уязвимости, которые активно используют злоумышленники, а также эффективные методы противодействия им с использованием Nemesida WAF.

При увеличении количества инструментов и техник атак все сложнее становится обеспечить доступность сайта, защитить веб-приложение или его компоненты от взлома и подмены контента. Несмотря на усилия технических специалистов и разработчиков обороняющаяся сторона традиционно занимает догоняющую позицию, реализовывая защитные меры уже после того, как веб-приложение было скомпрометировано. Веб-сайты подвергаются атакам из-за публичной доступности, не всегда качественно написанному коду, наличию ошибок в настройке серверной части, а также отсутствующему контрою со стороны службы ИБ, тем самым обеспечивая злоумышленникам доступ к критичным данным.

В связи с этим возникает необходимость использовать защитные средства, учитывающие архитектуру веб-приложения, и не приводящие к задержкам в работе сайта.

Уязвимости нулевого дня

Уязвимость нулевого дня или 0-day – это ранее неизвестная уязвимость, которая эксплуатируется злоумышленниками. Происхождение термина связано с тем обстоятельством, что уязвимость или атака становится публично известна до момента выпуска производителем ПО исправлений ошибки (то есть потенциально уязвимость может эксплуатироваться на работающих копиях приложения без возможности защититься от нее).

Природа уязвимостей нулевого дня позволяет злоумышленникам успешно атаковать веб-приложения в период от нескольких минут до нескольких месяцев. Такой большой период обусловлен множеством факторов:

  • уязвимость необходимо локализовать и устранить;
  • выкатить работоспособный патч;
  • уведомить пользователей о проблеме;
  • пользователям приложения запустить процесс патч-менеджмента (что бывает очень нелегко сделать «здесь и сейчас» на крупном проекте).

В этом кроется еще один немаловажный фактор — для новой уязвимости может не существовать правил или исключений в защитной системе, а сигнатура атаки может быть не распознана классическими защитными средствами. В этом случае поможет использование белого списка поведенческого анализа конкретного веб-приложения для минимизации рисков атак нулевого дня.

В качестве примера можно привести хронологию атаки Struts2: CVE-2013-2251 Struts2 Prefixed Parameters OGNL Injection Vulnerability — c момента появления «боевого» эксплойта прошло несколько дней, прежде чем многие компании смогли накатить патч.

Тем не менее, при использовании защитных средств можно было выявить запрос вида:
http://host/struts2-blank/example/X.action?action:%25<(new+java.lang.ProcessBuilder(new+java.lang.String[]<'command','goes','here'>)).start()>
для блокирования атаки, т.к. он явно не является легитимным в контексте пользовательских действий.

«Классические» атаки

Статистика показывает, что многие веб-приложения компрометируются также, как и годами ранее — это разного рода инъекции, инклуды, клиент-сайд атаки, поэтому защитное средство должно уметь выявлять и блокировать атаки, направленные на эксплуатацию следующих уязвимостей:

  • SQL Injection — sql инъекции;
  • Remote Code Execution (RCE) — удаленное выполнение кода;
  • Cross Site Scripting (XSS) — межсайтовый скриптинг;
  • Cross Site Request Forgery (CSRF) — межстайтовая подделка запросов;
  • Remote File Inclusion (RFI) — удалённый инклуд;
  • Local File Inclusion (LFI) — локальный инклуд;
  • Auth Bypass — обход авторизации;
  • Insecure Direct Object Reference — небезопасные прямые ссылки на объекты;
  • Bruteforce — подбор паролей.

В идеальном веб-приложении такого рода уязвимости должны быть обнаружены и зафиксированы еще на этапе разработки: должен был проведен статический, динамический, интерактивный анализ, выявление аномалий в логике работы приложения. Но, зачастую, такие моменты по тем или иным причинам упускаются из виду, на них не остается времени или средств.

Защита на прикладном уровне

Веб-приложения отличаются от обычных приложений двумя вещами: огромным разнообразием и значительной интерактивностью. Это создаёт целый ряд новых угроз, с которыми традиционные межсетевые экраны не справляются.

Протокол прикладного уровня — протокол верхнего (7-го) уровня сетевой модели OSI, обеспечивает взаимодействие сети и пользователя. Уровень разрешает приложениям пользователя иметь доступ к сетевым службам, таким, как обработчик запросов к базам данных, доступ к файлам, пересылке электронной почты. Защита на прикладном уровне является наиболее надежной. Уязвимости, эксплуатируемые злоумышленниками, зачастую полагаются на сложные сценарии ввода данных пользователем, что делает их трудноопределимыми с помощью классических систем обнаружения вторжений. Также этот уровень является самым доступным извне. Возникает необходимость понимать группы протоколов и зависимостей, свойственных для веб-приложений, которые строятся над прикладными протоколами http/https.

Основной принцип защиты сайта на прикладном уровне — верификация и фильтрация данных запросов, передаваемых методами GET, POST и т.д. Подмена или модификация запроса — это базовая основа практически всех способов взлома и атак на сайты.

Цели атак

Веб-приложения могут быть атакованы независимо от их принадлежности к той или иной области деятельности: сайты малой посещаемости, неоперирующие большими объемами информации и не хранящие критичных данных могут быть атакованы в результате нецелевых атак. Значимые сайты, имеющие высокие показатели трафика, огромные объемы пользовательских данных и т.д. являются привлекательной мишенью для злоумышленников и подвергаются атакам практически ежедневно:

  • Каждый третий сайт был взломан или подвергался атакам хакеров;
  • 80% сайтов взламываются в ходе нецелевых атак с использованием популярных сканеров или утилит;
  • Около 60% взломанных сайтов были заражены и заблокированы поисковыми системами.

Для сайтов, оперирующих платежными данными, обрабатывающих онлайн-транзакции существует специализированные требования соответствия стандарту PCI DSS. Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.

Пункт 6.6 гласит, что помимо проведения аудита веб-приложения необходимо обеспечить применение специализированных защитных средств:

To gain a better understanding of the Requirement 6.6, we should refer to PCI DSS 3.1 standard which says that public-facing web applications shall “address new threats and vulnerabilities on an ongoing basis and ensure these applications are protected against known attacks.”
What is important here is the “on an ongoing basis” condition, which makes it very clear that web security is a permanent process and highlights the importance of continuous web security.
PCI DSS proposes two ways to achieve this requirement:
“Reviewing public-facing web applications via manual or automated application vulnerability security assessment tools or methods, at least annually and after any changes.”
“Installing an automated technical solution that detects and prevents web-based attacks (for example, a web-application firewall) in front of public-facing web applications, to continually check all traffic.”

Пункт 6.6 носит обязательный характер, если веб-приложение входит в CDE (Cardholder Data Environment).

Обеспечение защиты сайта

Оптимальным решением для обеспечения защиты сайта является применение Web Application Firewall — межсетевого экрана прикладного уровня, позволяющего эффективно защищать сайты от атак злоумышленников.

Web Application Firewall — это специальный механизм, накладывающий определенный набор правил на то, как между собой взаимодействуют сервер и клиент, обрабатывая HTTP-пакеты. В основе кроется тот же принцип, что и в обычных пользовательских фаерволах, — контроль всех данных, которые поступают извне. WAF опирается на набор правил, с помощью которого выявляется факт атаки по сигнатурам – признакам активности пользователя, которые могут означать нападение.

Как это работает

Web Application Firewall работает в режиме прозрачного проксирующего механизма, анализирую на лету приходящие от клиента данные и отбрасывая нелегитимные запросы:

После установки Web Application Firewall необходима настройка под целевое веб-приложение — в зависимости от типа и вида CMS добавляются учитывающие веб-приложение настройки фильтрации и правила и защитное средство переводится в режим обучения, для сбора эталонных моделей коммуникации с веб-приложением, идентификаторов и т.д.

После этапа машинного обучения включается боевой режим, который оперирует как готовыми правилами фильтрации, так и наработками, собранными на этапе обучения для обнаружения и блокирования атак.

Эффективность применения Web Application Firewall складывается из нескольких факторов:

  • Простая интеграция в инфраструктуру;
  • Гибкая система адаптации с веб-приложением;
  • Блокирование угроз OWASP Top 10;
  • Анализ и блокирование аномалий протокола или данных;
  • Обнаружение и блокирование подделки идентификаторов сессий;
  • Обнаружение и блокирование подбора паролей;
  • Инспекция ответов сервера на наличие критичных данных;
  • Динамическое обновление сигнатур атак;
  • Низкое количество ложных срабатываний;
  • Самозащита WAF;
  • Удобный сервис информирования об атаках;
  • Статистика и регламентная отчетность.

Одним из источников, позволяющих выявлять новые сценарии и реализацию атак на веб-приложения, являются «Лаборатории тестирования на проникновение», имитирующие реальную инфраструктуру современных компаний. В лабораториях принимают участие около 9000 специалистов по информационной безопасности со всего мира, с разным уровнем подготовки, навыков и инструментария. Анализ атак, направленных на объекты лаборатории, позволяют составить модели нарушителя и реализации векторов атаки.

Эти данные тщательно анализируются и на их основе добавляются новые правила фильтрации. Таким образом наше решение способно обеспечить полноценную защиту сайта от различных видов и типов атак.

17 шагов, чтобы защитить ваш сайт на WordPress от хакеров

Сегодня мы поговорим о такой замечательной штуке как защита Ваших сайтов на популярном движке WordPress от хакеров и прочих злоумышленников.

Вас ждут простые, интересные и, самое главное, рабочие советы. Приступим.

  1. Смените ваш логин
    Он у вас всё ещё admin ? При создании сайта его ставят чаще всего. Это первое, что проверяют боты, ищущие прорехи в безопасности. Войдите в административную часть и создайте новую административную учётную запись с каким-нибудь другим именем. Затем выйдите из системы управления, войдите вновь и удалите аккаунт admin .
  2. Необычный пароль
    Никто не хочет запоминать по 20 разных паролей, но жизненно важно, чтобы для вашего блога он был уникальный. Используйте прописные, строчные буквы, знаки пунктуации и пр.
    Пример: Vg8uB6Z. – это отличный пароль.
    Есть программы, хранящие и генерирующие пароли – это то, что вам нужно. К примеру, Password Agent .
  3. Обновляйте WordPress
    Одним из самых часто встречающихся случаев взлома сайта является использование устаревших скриптов. WordPress уведомит вас о выходе своей новой версии прямо в панели управления. Обновите его. Потеряв минуту, вы сэкономите часы в дальнейшем – новая разработка сайтов стоит и денег и времени.
  4. Избегайте бесплатных тем
    Множество сайтов предлагают вам скачать уже готовые темы для оформления вашего веб-ресурса. В некоторых их них есть неприятные скрытые «сюрпризы». Используйте только доверенные сайты, вроде WordPress.org для скачивания тем или создавайте свою собственную с помощью бесплатных фреймворков.
  5. Бойтесь плагинов
    Конечно, плагины дают вам отличную от базовой функциональность, однако, некоторые из них открывают двери для хакеров. Скачивайте их только с официального сайта Вордпресса и обращайте внимание на все появляющиеся предупреждения. Также, не забывайте обновлять плагины.
  6. Храните только то, что вам нужно
    У вас есть несколько неиспользуемых плагинов? Даже будучи неактивированными, они могут представлять угрозу. Удалите все неиспользуемые плагины, темы, файл readme из корня сайта. Есть простое правило: меньше скриптов, меньше уязвимостей.
  7. Делайте резервные копии
    Не все хакерские атаки могут повредить вам, но даже одна успешная испортит вам жизнь. Делайте регулярные резервные копии своего сайта! У многих хостеров эта функция включена по умолчанию и в случае проблем вам можно будет восстановить сайт из копии месячной, недельной, вчерашней «свежести».
  8. Проверьте свой компьютер на наличии вирусов
    Нужно следить не только за своим сайтом на WordPress , но и за собственным компьютером. У вас должен быть часто обновляемый антивирус. Не хотите же вы заразить свой сайт, разместив там несколько вирусных файлов?
  9. SFTP это не ФТП
    Все загрузки файлов на ваш сайт должны происходить через SFTP , если ваш провайдер позволяет это делать. Если нет, перейдите к более защищённому хостеру. Соединение будет происходить по защищённому протоколу и «плохие парни» не смогут его перехватить.
  10. Защитите свои конфигурационный файлы
    Добавив специальный файл .htaccess в корень сайта, вы существенно повысите безопасность. Если у вас нет этого файла, создайте текстовой с этим именем и переименуйте его (расширения нет!). Код, представленный ниже, не даст злоумышленнику логин от базы данных в случае неполадок с PHP .

    order allow, deny
    deny from all

    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ — [L]
    RewriteCond % !-f
    RewriteCond % !-d
    RewriteRule . /index.php [L]

  11. Смените префикс у таблиц в базе данных
    Этот шаг только для новых установок (первоначальное создание сайтов, Пермь)(см. код ниже для уже существующих сайтов). Убрав префикс wp по умолчанию, вы значительно осложните поиск для злоумышленников. Откройте файл wp-config.php и найдите строки, касающиеся префикса. Смените его на что-либо другое.
    К примеру, $ table- prefix=’ movie_’; Как сменить префикс у уже работающих сайтов? Вам понадобится PHPMyAdmin и Dreamweaver (скачать дамп базы данных, произвести поиск/замену, закачать дамп снова).Если это выглядит слишком сложным для вас, в конце статьи будет описан более лёгкий способ.
  12. Защитите каталоги от просмотра
    Чтобы хакеры не смогли просмотреть папки на вашем сервере, набрав их полный путь, защитите их с помощью .htaccess (добавьте туда Options —Indexes) или поместите в директорию пустой файл index.html
  13. Защитите файл .htaccess Выглядит немного странным, что кто-то будет менять этот файл, но это самое сердце вашей защиты, поэтому, лучше о нём позаботиться заранее. Заприте каждую дверь, какую сможете. Поместите туда код:

    order allow, deny
    deny from all

  14. Ограничения по IP адресу Если у вас статичный IP-адрес, вы можете ограничить доступ к административной части сайта. Это отличный способ обезопасить себя. В файл .htaccess добавьте следующие строки:
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName «Access Control»
    AuthType Basic
    order deny, allow
    deny from all
    allow from .
  15. Ограничение попыток входа
    Обычно хакеры, подбирая пароль, делают множество попыток входа. Можно настроить систему так, что после 2й неудачной попытки ip-адрес злоумышленника будет заблокирован на несколько часов.
  16. Запрет отслеживания HTTP заголовка
    Добавьте в .htaccess эти строки:
    RewriteEngine On
    RewriteCond % ^TRACE
    RewriteRule .* — [F]
  17. Защита от SQL-инъекций
    Это самая часто встречающаяся форма атак на WordPress сайты. Многие хостеры закрывают эти возможные «дыры» в защите, но вам не мешает защититься и самим. Опять же, добавьте в .htaccess эти строки:
    RewriteCond % (\ |%3E) [NC, OR]
    RewriteCond % GLOBALS(=|\[|\%[0 — 9A-Z]<0, 2>) [OR]
    RewriteCond % _REQUEST(=|\[|\%[0 — 9A-Z] <0,2>)
    RewriteRule ^(.*)$ index.php [F.L]

А чтобы не мучиться со всем этим, просто поставьте плагин Better WP Security . Он может всё вышеперечисленное и даже больше.

Добавить комментарий