Від злому сайту ніхто не застрахований, але завжди можна зменшити ризики, подбавши про захист сайту. Для початку розглянемо, яким чином зловмисники можуть дістатися до файлів сайту.
Уразливості домашнього комп'ютера
Як би це не здавалося дивним, але причиною злому сайту може виявитися домашній комп'ютер, навіть якщо на нього встановлений платний антивірус. Антивірус не дає стовідсоткової гарантії від зараження комп'ютера вірусами, так як дуже часто, користувачі встановлюють «ліві» програми, незважаючи на попередження антивірусних програм про можливість зараження. Ризик збільшується, якщо доступ до комп'ютера є у дітей, які часто встановлюють «корисні» додатка, які на перевірку виявляються троянськими програмами.
Якщо на комп'ютері завелися троянці, то є велика частка ймовірності того, що зловмисники можуть отримати паролі від FTP доступу до хостингу, з усіма негативними наслідками. Ризик зростає в тому випадку, якщо використовуються програми типу Total Commander або File Zilla, а паролі доступу вже в файлах цих додатків.
- Використовуйте платні версії антивірусних програм;
- Хоча б раз на тиждень проводите повну перевірку комп'ютера на наявність вірусів;
- Чи не довіряйте одному антивірусу. Наприклад, якщо встановлено антивірус Касперського, періодично проводите повну перевірку комп'ютера за допомогою лечащей утиліти Dr. Web CureIt;
- Не завантажуйте й не встановлюйте підозріле програмне забезпечення;
- Якщо доступ до комп'ютера є у дітей, створіть для них окрему обліковий запис зі звичайним доступом (тобто не в якому разі ні з правами адміністратора);
- Не зберігайте паролі в FTP-клієнт типу File Zilla.
перебір паролів
Злом сайту в лоб - це перебір паролів. Наприклад, в тому випадку, якщо сайт працює на таких популярних движках як WordPress або Joomla, часто початківці вебмастера, при установці CMS залишають ім'я користувача за замовчуванням «admin» або «administrator». В результаті залишається підібрати тільки пароль, який буває досить не складний і може складатися з одних цифр. Навіть якщо цифр буде 10, перебрати всі можливі варіанти програмним способом, буде дуже легко і на це не знадобиться багато часу.
Захист адмін-панелі сайту від злому
Оскільки завжди є ризик, що в результаті перебору паролів від адмін-панелі зловмисники отримають до консолі CMS, має сенс підстрахуватися. Можливі два простих, але ефективних способу захисту адмін-панелі сайту від злому:
- За допомогою файлу .htaccess;
- За допомогою плагінів для CMS.
Захист адмін-панелі за допомогою файлу .htaccess
order deny, allow
deny from all
allow from 94.233.122.134
Order deny, allow
Deny from all
Allow from 5.139
Allow from 94.233
Allow from 178.35
Захист адмін-панелі за допомогою плагінів
Цілком прийнятний спосіб захисту адміністративної панелі за допомогою плагінів. Наприклад, для WordPress можна використовувати плагін Limit Login Attempts - який дозволяє обмежувати кількість спроб введення невірного пароля.
За замовчуванням, плагін Limit Login Attempts налаштований таким чином, що якщо чотири рази неправильно ввести пароль, то можливість введення пароля з цього IP блокується на 20 хвилин. Після чотирьох серій з чотирьох неправильних спробах, можливість ввести пароль блокується на 24 години.
Плагін зберігає лог (статистику) ізоляцій, в якій зазначено, з яких IP була проведена спроба отримання доступу до консолі, а також зазначено, який вводився логін.
Зверніть увагу, як правило використовуються логіни «admin» і «administrator» - розрахунок на початківців сайтостроителей, які залишили логін за замовчуванням.
У подібних випадках, є сенс збільшити час ізоляцій при неправильному введенні пароля.