Працюючи на інших CMS, написаних на Php, я маю велику апатію не тільки через незручність адмінки, обмежених функцій, але ще й тому що всі мої сайти на WordPress зламували. Тому коли клієнти звертаються з пропозицією доопрацювати сайт або просто дизайн сайту на DLE, Joomla, Wordpress, я з великим сумнівом ставлюся до таких проектів і їх майбутнього розвитку.
Що робити після злому сайту?
Зазвичай злом передбачає додавання вірусних файлів, і дуже рідко sql-ін'єкцій.
Наступні сервіси допомагають визначити віруси, знайти php, js, shell ін'єкції:
Захист сайту на Drupal і пошук вірусів, вразливостей
1. Частка сайту від вірусів
Після виявлення вірусів - видалити вірусні файли, замінити заражені файли на чисті з бекапу.
2. Після чистки змінити паролі
Якщо віруси з'являються знову, спробуйте перенести сайт на інший хостинг на час. Якщо ситуація повториться - шукайте уразливості.
3. Після зміни паролів - оновити систему
Якщо сайт на популярній CMS - оновити ядро і всі модулі.
Вимикайте модулі.
Перевірити код самописних модулів.
Ця робота найскладніша. Але якщо не залатати діри безпеки, розвиток проекту буде неможливим - віруси будуть з'їдати вашу роботу з сайтом, змушуючи робити чистку, зміну паролів та інші не цільові дії.
Вивчити наступні логи:
Якщо не виявлено активність хакера, при неможливості читання логів:
Відключити небезпечні модулі.
Відключити реєстрацію.
Обмежити функції сайту.
Очікувати появу вірусу знову і знаходити уразливі місця в сайті з обмеженими функціями.
Зверніться до тих. підтримки хостингу за безкоштовним пошуком вірусів або уразливості або запропонуйте оплату за забезпечення безпеки.
Якщо ніякі дії не допомагають знайти вразливе місце, в тому числі, не допомагає зміна хостингу, доведеться перенести сайт на іншу CMS: надійнішу або самопісний.
Що допоможе зробити сайт найбільш надійним?
Для дуже дорогих проектів і професіоналів в області розробки про безпеку сайту слід зазначити, кращу захищеність сайт матиме завдяки:
- Власний сервер VDS або хоча б VPS - замість шаред-хостингу
- Використання самопісний CMS від надійного розробника
- Правила кодування: для Drupal - кодування Drupal-way і перевірка коду модулями Secure code review. Coder.
Де дізнатися про безпеку і захист сайтів
Чому Друпал - безпечна CMS?
До речі, дуже часто група Drupal Security видає новини безпеки з критичним рівнем вразливості. Тому Друпал безпечний до пори до часу, поки не вийде нова версія, в якій буде розкрита для всіх хакерів усунутий вразливість. Часто сайти на Друпал, які не оновлені відразу після виходу оновлення безпеки виявляються під ударом хакерів.
Що якщо для старих невикористовуваних сайтів просто зробити версію без CMS - звичайним html - нехай з кодами adsense або діркет, але без баз даних і php?