Кожен інтернет-підприємець знає про загрозу злому сайту і втрати важливих даних. Але багато власників ресурсів нехтують правилами безпеки. Вони думають, що хакерів цікавить тільки велика здобич, наприклад, сайти великих рітейлерів Target і Neiman Marcus, портали органів влади або великих ЗМІ. Насправді, кожен сайт піддається небезпеки злому. Хакери можуть атакувати ваш блог або корпоративний портал навіть заради розваги.
У цій статті ви знайдете рекомендації, які допоможуть вам зменшити ймовірність злому сайту і пов’язаних з цим втрат.
Абсолютно надійних способів захисту від злому сайтів не існує. Проте скориставшись нижченаведеними рекомендаціями, ви значно зменшите схильність до злому вашого ресурсу. Крім того, ви захиститеся від непрофесійних зломщиків. Щоб не подарувати сайт зловмисникам, скористайтеся такими порадами:
Не використовуйте логін admin для входу в панель адміністратора сайту. Це перший варіант, який спробує п’ятикласник Ваня, який вважає себе початківцям хакером.
Не використовуйте в якості логіна реальні імена і прізвища, а також публічні електронні адреси. Використовуйте логін, який не має відношення до вашого сайту і публічної діяльності.
Створіть резервну обліковий запис з правами адміністратора. Це необхідно на випадок, якщо ваш адмін поїде у відпустку, а вам доведеться швидко захистити сайт від атаки або відновлювати дані.
Слідкуйте за правами зареєстрованих користувачів. Не надавайте їм права редактора або адміністратора без крайньої необхідності.
Позбавляйте користувачів адміністративних прав і видаляйте їх обліковий запис в разі звільнення. Це актуально для великих організацій, у штаті яких працюють десятки або сотні співробітників. Зобов’яжіть відділ персоналу повідомляти IT-службу про звільнення працівників і необхідності видалити обліковий запис.
Не використовуйте в якості пароля прості слова, комбінації цифр, імена, дні народження.
Не використовуйте один пароль для доступу до різних систем, наприклад, до сайту, особистої електронної пошти і інтернет-банкінгу. Це особливо небезпечно, якщо ваш пароль легко підібрати.
Не використовуйте загальний пароль для всіх співробітників організації. В цьому випадку вам буде складно контролювати безпеку сайту.
Не використовуйте занадто складні паролі, які неможливо запам’ятати. У цьому випадку їх доведеться записувати на папір. Наприклад, деякі люди вішають стікер з логіном та складним паролем на монітор комп’ютера, а потім скаржаться на жахливі хакерів. Якщо ви все ж записали пароль в блокнот, зберігайте його в доступному тільки вам місці.
Використовуйте надійний пароль. Використовуйте в кодовому слові комбінацію великих і маленьких літер, цифр, спеціальних символів. Якщо ви боїтеся забути пароль, придумайте коротку фразу, транслітеруйте її і використовувати без пробілів в якості коду доступу. Наприклад, фраза «я люблю літати на Сатурн» в якості пароля буде виглядати так: yalyublyuletatnasaturn. Цей пароль легко запам’ятати. Думаєте, не ви один любите літати Сатурн? Ускладните пароль: Yalyublyule_tatnasaTurn48. Або так: Nasaturn_s_lenkoi_letatlyublyu.
Слідкуйте за безпекою в мережі. Не давайте сторонніх сайтів або сервісів доступу до вашого ПК.
Регулярно змінюйте пароль від сайту. Робіть це кожні 90 днів, навіть якщо ви упевнені, що кодове слово знаходиться в безпеці. Ваша впевненість не захищає від можливості крадіжки пароля.
Не відправляйте логін і пароль від сайту за допомогою електронної пошти. Якщо у вас немає іншого виходу, відправте пароль і логін з різних ящиків. Попросіть одержувача видалити листи після прочитання. Не пишіть в темі листа слів «пароль», «логін», доступ до сайту» і т. п.
Відправляючи пароль за допомогою електронної пошти або месенджера, переконайтеся, що спілкуєтеся з однією людиною. Наприклад, перевірте, чи відправляєте ви кому-небудь копії листа з паролем.
Негайно міняйте пароль і логін від сайту, який відомий стороннім особам. Наприклад, якщо ви найняли на разову роботу програміста і дали йому доступ до адміністративної панелі, змініть кодове слово після завершення співпраці.
Додайте ресурс сервіси «Яндекс.Вебмастер» і інструменти для веб-майстрів Google. В цьому випадку ви швидко дізнаєтесь про появу на сайті шкідливого коду. Заздалегідь підготуйтеся до необхідності екстреного відновлення сайту. Запишіть телефон і електронну пошту хостинг-провайдера, подумайте канали, які ви зможете використовувати для спілкування з клієнтами до відновлення ресурсу.
Створюйте резервні копії сайту або блогу. Використовуйте для цього штатні засоби CMS або додаткові плагіни. Зберігайте резервні копії у безпечному та доступному місці.
Заздалегідь дізнайтеся, як відновлювати дані за допомогою резервних копій. Або переконайтеся, що у вас є контакти фахівців, які допоможуть вирішити питання.
Регулярно оновлюйте програмне забезпечення. Це стосується CMS, серверного програмного забезпечення, плагінів для популярних блог-платформ і т. п.
Захищайте сайт від злому методом повного перебору. Для цього використовуйте CAPTCHA або програми, що обмежують можливість входу в адміністративну панель після декількох невдалих спроб.
Описані рекомендації захистять вас від хакерів-любителів, які зламують ресурси заради спортивного інтересу. Також дотримання рад зменшує ймовірність втрати сайту внаслідок спрямованих атак.
А як ви захищаєте сайт або блог від злому?
Адаптація матеріалу 20 Actionable Security Tips To Keep Your Site Safe by Heidi Cohen.
Читайте також:
- Як збільшити швидкість завантаження сайту?
- Фільтр аффіліатів в питаннях і відповідях
- Як проводити A/B-тестування
