24 января 2020 г.
Время чтения: 3 минуты

23 совета по защите сайта от взлома и атак

Зевс с молнией на страже

Недавно мы рассказывали о том, что делать, когда ваш сайт атаковали. А теперь поговорим о том, что как этого не допускать. Перечислим основные рекомендации, которые помогут большинству владельцев сайтов обезопасить свои проекты.

Выявляем уязвимости

1. Об этом знают многие, но всё же: регулярно проверяйте сайт на наличие вредоносного программного обеспечения (ПО) и уязвимостей. В этом вам помогут программы-сканеры, а для аудита масштабных проектов также можно привлечь отдельных специалистов.

2. Используйте надёжный антивирус с постоянно обновляемой вирусной базой на всех компьютерах, где ведётся работа над сайтом.

3. Периодически просматривайте код сайта. Иначе можно вовремя не заметить посторонние включения в код, добавленные злоумышленниками.

Заботимся о паролях

4. Используйте сложные логины и пароли — об этом слышали едва ли не все, но лишь некоторые соблюдают этот принцип. Слова admin и administrator, а также другие легко угадываемые слова и комбинации использоваться для входа не должны.

5. Идеальный пароль состоит минимум из 10 символов, а именно из цифр, букв в разных регистрах и знаков. Генерировать сложные пароли можно с помощью специальных программ.

6. Желательно не хранить пароли на компьютере, в облачных хранилищах, в браузере и в клиентах. Используйте для этого специальные менеджеры.

7. Не устанавливайте одинаковые пароли в нескольких местах, для входа в каждое из них определите отдельную комбинацию символов.

8. Не забывайте менять пароли, так как, несмотря на соблюдение всех мер безопасности, они всё равно могут утекать к взломщикам. Как часто это делать, решать вам: для стратегически важных сервисов пароли лучше менять раз в месяц, а для наименее уязвимых мест может быть достаточно смены пароля раз в год.

9. Если вы передаёте пароль другому человеку, обязательно меняйте его, когда человеку больше нет необходимости его использовать.

10. Для повышения безопасности входа в панель администратора сайта подключите модули с капчей, а также ограничьте число попыток ввода пароля.

Следим за ПО

11. Устанавливайте все актуальные обновления для вашего программного обеспечения, ведь уязвимости в неактуальных версиях нередко используются для атак.

12. Проводите аудит безопасности используемого ПО, проверяя настройки и используя антивирусные сканеры.

13. Пользуйтесь таким ПО, которому можно доверять. Загружайте его из надёжных источников. Не прибегайте к взломанным плагинам, компонентам и модулям, так как зачастую они создаются злоумышленниками.

14. Также не помешает скрывать версии серверного ПО, а именно CMS, системы управления базами данных, веб-сервера. Если взломщики будут знать номера версий, провести атаку им будет легче.

Контролируем доступы

15. Предоставляйте доступ и права только тем, кому вы доверяете и кому это действительно необходимо. Так же, как и в случае с паролями, лишайте человека доступа в систему, когда в доступе уже нет необходимости.

16. Следите, чтобы пользователи на сайте имели только необходимые им права.

17. Если возможно, используйте доступ к администрированию сайта только по определённым IP-адресам. Тогда злоумышленник, даже зная пароли, не сможет использовать их для входа.

Держим сайт в безопасности

18. Следите за предупреждениями безопасности в панелях вебмастеров Яндекса и Google.

19. Пользователям CMS лучше спрятать панель администратора сайта, сменив её адрес. Взломщики могут легко угадать ссылку на админку, подставив к адресу страницы /admin или /administrator.

20. Для уменьшения риска атак можно отключить показ сайта в странах, где точно не может находиться ваша аудитория. Это помешает тем, кто при проведении атак шифрует своё местоположение. Однако будьте с этим осторожны, чтобы, например, ваши посетители могли заходить на ваш сайт, находясь в отпуске за рубежом.

Создаём бэкапы

21. Позаботьтесь о создании резервных копий файлов сайта и баз данных. Рекомендуется создавать копии не реже раза в сутки и хранить их не менее недели, но всё зависит от того, как часто происходят изменения на вашем сайте.

22. Создавая бэкапы вручную, храните их на внешних серверах или на отдельных физических носителях, чтобы они не пострадали при масштабной атаке.

23. Если есть возможность, шифруйте резервные копии.

Придерживайтесь этих и других правил кибербезопасности, чтобы вам никогда не пригодилась наша статья о действиях при уже случившейся атаке. А ещё узнайте, какие уязвимости бывают на сайтах и для чего вообще злоумышленники занимаются взломом и атаками.

Вы купили домен — а что дальше?

Бизнес-сети и домен .NETWORK

Рекомендуем

Домен .SALE: как купить его за 790 ₽ и для каких сайтов использовать

Защита PHP-сайта: зачем подключать услугу «Антивирус для PHP-сайтов» на хостинге

© Джино, 2003–2024. «Джино» является зарегистрированным товарным знаком.
Лицензия на телематические услуги связи № 150549 от 09.03.2017.
Правовая информация Политика конфиденциальности Карта сайта