Блог — аудит безопасности и защита сайтов. Описание сайта защита


Виды комплексной защиты сайтов от внешних угроз

Опубликовано в Защита веб-сайтов   28 Августа, 2017

Любой коммерческий сайт находится в зоне риска внешнего воздействия по умолчанию – злоумышленники используют десятки способов взлома веб-страниц вне зависимости от того, на какой платформе они сделаны.

В списке «классических» типов атак находятся:

  • SQL-иъекции,
  • Межсайтовый скриптинг (XSS),
  • Удалённое исполнение кодов (RCE),
  • Межсайтовая подделка запросов (CSRF),
  • Локальный и удалённый инклуд (LFI, RFI),
  • Варианты обходов авторизации,
  • Автоматизированный подбор паролей (Bruteforce).

Практика показывает, что под угрозой взлома находятся абсолютно все веб-страницы. Небольшие ресурсы с малым трафиком и нейтральным информационным контентом, значимые порталы с большими объёмами пользовательских данных, сервисы по обработке транзакций – это неважно, от хакерских нападений не застрахован никто.О чём свидетельствует и статистика:

  1. Периодическим атакам подвергается каждый третий сайт.
  2. Около 80 % интернет-ресурсов подвергаются взлому вследствие нецелевых атак, использующих популярные утилиты и сканеры.
  3. Более половины взломанных страниц оперативно блокируются поисковыми системами в пользовательской выдаче.

Фаерволы – универсальное ПО на страже интернет-страниц

Идеальная защита сайта заключается в том, чтобы обезопасить его от всех специфических угроз ещё на стадии разработки. В реальной жизни у многих веб-мастеров руки до программного затыкания всех «дыр» не доходят, и следить за безопасностью приходится в рабочем режиме.

Для защиты интернет-ресурсов от хакеров используются различные варианты Web Application Firewall – многосетевых экранов, позволяющих на прикладном уровне эффективно отражать атаки злоумышленников. Принцип работы любого фаервола одинаков: контролируя все поступающие данные, программа сверяет их с сигнатурами, набором программных правил, описывающих известные атаки. В случае обнаружения подозрительных запросов фаервол их оперативно блокирует.

Защита сайтов на WordPress и Joomla

Основные CMS-платформы используют свои, особенные фаерволы. Так, сайты на Вордпресс можно проверить платным сервисом Sucuri firewall, который в целях безопасности создаёт специализированный прокси-сервер, фильтрующий входящий поток запросов на вредоносность.

В качестве бесплатной защиты сайта на WordPress от взлома многие веб-мастера используют такие плагины, как WordPress Simple Security Firewall и All In One WP Security & Firewall, – каждый из них имеет свои особенности и функциональные настройки. NinjaFirewall представляет собой ещё один автономный продукт, который сканирует поступающие HTTP/HTTPS-запросы сценариев PHP.

Среди программного обеспечения, предназначенного для интернет-ресурсов на платформе Joomla, выделяется многофункциональное расширение SecureLive в платной версии. Большой популярностью у разработчиков пользуется и RSFirewall, защищающий сайты от большинства видов современных угроз.

Защита сайта на Bitrix

В программном обеспечении «1С-Битрикс: Управление сайтом» находится целый ряд технических функциональных решений и веб-приложений, которые относительно эффективно защищают интернет-ресурсы на базе этой платформы.

  • Прежде всего стоит обратить внимание на модуль «Проактивная защита», инструменты которого образуют комплексный мониторинг и сохранность от всех основных типов угроз.
  • Проактивный фильтр Web Application Firewall (WAF) стоит на страже веб-приложений, защищая страницы от SQL-уязвимостей, скриптинга XSS, инклудинга и т. д.
  • Инструменты аудиторной безопасности PHP-кода помогают определить в системе битрикс-сайтов наиболее уязвимые места в коде.

Наконец, встроенный в сам продукт универсальный антивирус защищает от имплантирования в веб-приложения вредоносного кода, а также контролирует общие настройки безопасности всей системы.

Защита сайтов на MODX и Opencart

Настройка безопасности сайтов в системе CMS MODX производится вручную. Здесь стоит обратить внимание прежде всего на перемещение ядра приложения – каталог core желательно перенести за границу корневого каталога (то есть, расположить по дереву файловой системы повыше). При перенесении каталога нельзя забывать о редактировании всех имеющих отношение к ядру конфигурационных файлов, указав для них обновлённый путь до ядра.

Для повышения уровня защиты сайта на MODX желательно перенести адрес административной панели – это мешает ботам опознанию ресурса в качестве ресурса, созданного на основе этой CMS. Для проведения этой процедуры достаточно переименовать каталог, в котором находится адрес (по умолчанию он прописывается в виде http://site.ru/manager) и задать новое направление в файле конфигурации.

Обезопасить интернет-магазин на базе системы Opencart также несложно. В первую очередь улучшить защиту помогает перенос адреса админ-панели с последующим прописыванием пути к ней всех связанных конфигурационных файлов. Одновременно на важные типы файлов (admin/config.php и config.php) рекомендуется установить ограничение прав доступа только на чтение.

В качестве профилактической меры защиты можно сменить и логин-пароль для входа во внутреннюю систему Opencart.

Virusdie – надёжность в защите, простота в управлении

Этот короткий обзор средств защиты основных CMS-систем наглядно показывает, что процесс ручной настройки и управления занимает много времени и усилий.

Антивирусное программное обеспечение от Virusdie помогает настроить систему безопасности любого сайта автоматически, только лишь подключив сайт к онлайн-базе сервиса.

Virusdie предоставляет профилактическую защиту и излечение от всех известных вирусов и хакерских угроз, SQL- и XSS-инъекций, спама в комментариях и прочих видов подозрительной активности.

В программный пакет входит комплексный антивирус, работающий со всеми основными веб-платформами, надёжный фаервол и менеджер файлов. Встроенное решение по автоматическому поиску и удалению вредоносных кодов (на основе функционала Вирусдай.Сервер) позволяет пользователям из личного кабинета контролировать содержимое системных каталогов, своевременно редактируя и удаляя все подозрительные объекты.

Эффективная защита сайта с помощью антивируса Virusdie обеспечена большим количеством современных, высокотехнологичных инструментов, для запуска которых от пользователя не требуется точечная настройка, – достаточно активировать кнопку в соответствующем меню безопасности. За эту простоту и удобство программное обеспечение от Virusdie выбирает множество владельцев сайтов, уже успевших оценить преимущество онлайн-сервиса.

virusdie.ru

Защита разработанного сайта, представление проекта

Для успешной подготовки к квалификационному экзамену по модулю «ПМ.01. Разработка программных модулей программного обеспечения для компьютерных систем» предлагаю алгоритм, по которому будет производится оценка созданного сайта.

Защита разработанного сайта, представление проекта

1. Название сайта и автор

Хостинг сайта.

Присутствие на сайте сведений о владельцах ресурса / авторах сайта. Наличие контактной информации (сведений об авторе, его квалификации, владелец, редактор, веб-мастер).

Обратная связь — форма подписки на сайт.

Ясно ли предназначение сайта?

2. Описание ниши для сайта

Целевая аудитория сайта. Комплексная характеристика ЦА:

  • возраст,
  • стиль жизни,
  • работа,
  • уровень дохода,
  • компьютерная грамотность,
  • желание и возможность принимать новые технологии.

 3. Дизайн сайта

3.1. Используемый шаблон и его структура.

Из каких частей состоит шаблон и какие настройки в шаблоне были доработаны Веб-мастером.

Правильность оформления и присутствие заголовока сайта и страниц.  Присутствие точек в коротких заголовках.

3.2. Дизайн страниц:

  • Единый стиль оформления страниц и статей сайта(шрифт, цветовая гамма, графика в едином стиле)
  • Отсутствует мелкий шрифт, который сложно читать
  • Присутствует выравнивание
  • Страницы имеют геометрический каркас , элементы не распадаются на отдельные части, образуя единое целое
  • Сбалансированность цвета и дизайна страниц ( Цветовая палитра сайта не «режет» и не утомляет глаза, Фон сайта выбран правильно, текст на нем читается, Не слишком большое число цветов, цвета сочетаются)
  • Графика не мешает пользователю воспринимать информацию (нет движущих и мерцающих надписей, агрессивной Gif-анимации)
  • Оформление теста (нет слишком больших массивов выделений, Более двух разных гарнитур (шрифтов), Прижатость текста и элементов к друг другу, Слишком большие абзацы)

3.3 Сайт работает во всех браузерах. Возможность просматривать сайт на разных разрешениях монитора.

4. Контент

  1. Количество написанных статей и число страниц сайта (статей не менее 15).
  2. Объем теста в статьях (таблица – статьи и объем текста не менее 1500-2000 символов).
  3. Уникальность контента (не менее 75%). Оригинальность содержания.
  4. Разделение сайта на разделы.
  5. Содержание статей соответствует теме сайта. Удовлетворит ли контент пользователя? Отражают ли заголовки страниц их содержимое?
  6. Отсутствие пустых страниц, статей, разделов.
  7. Отсутствие грамматических или синтаксических ошибок. Отсутствие опечаток, орфографических, грамматических, стилистических ошибок
  8. Достоверность информации
  9. Если сайт располагает большим количеством информации, то предусмотрен ли поиск.

Работа полностью забраковывается, если содержит:

  • ненормативную лексику;
  • высказывания, призывающие к насилию;
  • высказывания, оскорбляющие честь и достоинство (страны, организации, человека).

5. Навигация сайта

  1. Навигация по сайту – простая, удобная, понятная. Присутствует меню навигации.
  2. Расположение окна навигации в одном и том же месте на всех страницах.
  3. Все ссылки сайта работают верно.
  4. Присутствуют подсказки у ссылок.
  5. Навигация позволяет вернуться на предыдущие уровни
  6. Присутствует перелинковка статей

 6. Внутренние настройки Web-мастера

Оптимизация

  1. Настройка ссылок ЧПУ .
  2. Установка и настройка плагинов оптимизации сайта и статей на сайте All Seo Pack, WordPress SEO. Примеры настройки статей (Title, description, keywords) на сайте. Оптимизация всех статей. Плотность ключей на страницах.
  3. Установка на сайт файла robots.txt (назначение и сам файл).
  4. Настройка карты сайта для роботы и для пользователя Google XML Sitemaps / Dagon Design Sitemap Generator.
  5. Установка, регистрация, настройка Плагина Akismet (антиспам).
  6. Установка счетчиков на сайте (LiveInternet, Яндекс.метрика, Google Analytics). Назначение и как используются Web-мастером.
  7. Наличие Фавикона на сайте.
  8. Закрытие ссылок от индексации.
  9. Антивирусная защита сайта. Как организована.

smartResponder

7. Работа по SEO-продвижению сайта

  1. Работа по низкочастотным запросам. Название статей и их частота запроса (примеры).
  2. Семантическое ядро сайта и как будет развиваться сайт.
  3. Поисковая выдача статей сайта (SEO продвижение сайта). Видимость сайта поисковыми системами.
  4. Оптимизация картинок на сайте. Снабжены ли картинки альтернативным текстовым описанием (alt)?
  5. Посещаемость сайта (по счетчику).
  6. Скорость загрузки страниц.(Время открывания страниц сайта).
  7. Ссылочная масса на сайт. Наличие ссылок с трастовых сайтов (Subcribe.ru)
  8. Тиц и Pr сайта.
  9. Кнопки соц. сетей на сайте.
  10. Контекстная реклама на сайте.
  11. Работа сайта с партнерскими программами.
  12. Форма подписки на сайте.
  13. Настройка сервиса подписок на сайт.
  14. Анонсы статей в соц.сетях.

 

 

Понравилась статья, рекомендуйте Вашим друзьям!
Давайте дружить!

komputercnulja.ru

Блог — аудит безопасности и защита сайтов

Уважаемые читатели, эта статья посвящена защите и настройке безопасности не менее популярной CMS — Joomla. Все рекомендации будут относиться к актуальной на данный момент ветке 3.3х. Многие из наших советов будут работать и на предыдущих версиях.

 

В процессе установки CMS необходимо обратить внимание на некоторые апсекты, правильное выполнение которых позволит существенно повысить защищенность вашего сайта.

 

Используйте сгенерированный префикс таблиц

Разработчики третьей версии Joomla (а также ветке 2.5) встроили некоторые механизмы, которые минимизируют выполнение векторов атаки, актуальных для предыдущих версий. Ранее все таблицы в базе данных создавались с использованием префикса jos_, что существенно облегчало выполнение sql-инъекций. Теперь установщик сам генерирует этот префикс, вам же остается только принять его.

Установка joomla — генерация префикса

Не стоит заменять его на что-то угадываемое, например, на имя вашего домена.

 

Придумайте имя администратора — не «admin»

Далее необходимо придумать имя администратора сайта и пароль. В качестве логина используйте что-то вроде «director-asa2». Если вы укажете классическое «admin», то подобрать параметры доступа будет существенно проще.

Установка joomla — имя администратора

При установке пароля обратите внимание на отсутствие индикатора стойкости.  Для выбора надежного значения лучше воспользуйтесь одним из онлайн сервисов по генерации паролей.

 

Не используйте FTP

Использование ftp-протокола — это потенциальная угроза безопасности. Причина — передача пароля и данных в «открытом» виде (нешифрованный протокол).

Для администрирования сайта рекомендуем использовать SSH или SFTP. В этом случае весь сеанс связи зашифрован. Большинство хостингов предоставляют такую возможность.

По умолчанию использование FTP отключено. В качестве альтернативы можете воспользоваться одним из плагинов в официальном репозитории extensions.joomla.org, например, ProFiles.

Установка joomla — не использовать FTP

 

Удалите директорию «installation/»

После завершения установки система предложит удалить директорию installation. Выполните это требование, так как ее наличие позволит злоумышленнику «затереть» ваш сайт новой установкой. Если вы удалили директорию непосредственно на файловой системе (а не воспользовались кнопкой в установщике), не забудьте также удалить файл joomla.xml, который содержит точную версию вашей CMS.

 

Не стоит думать, что по окончанию установки можно забыть о мерах безопасности. Как правило, в базовой комплектации система наименее подвержена компрометации. Риски возрастают при расширении функциональности, добавлении пользователей и т.д.

 

Обновляйте ядро, установленные плагины и темы

Базовый принцип всех CMS — своевременное обновление ядра системы и установленных плагинов. О наличии обновлении вы можете узнать на главной странице панели управления.

Настройка joomla — проверка обновлений

Для повышения отказоустойчивости вашего сайта рекомендуется делать резервные копии при установки новых версий ядра CMS. Для этого воспользуйтесь плагином Akeeba Backup версии не ниже 4.0.5.

 

Не используйте неподдерживаемые версии Joomla: 1.0х, 1.5х, 1.6х и 1.7х

Если вы давно используете Joomla, то возможно версия вашей системы уже официально не поддерживается (это касается всей ветки 1х) или скоро перестанет поддерживаться (ветка 2.5 официально заканчивается 31 декабря 2014 года). Мы рекомендуем задуматься о миграции на актуальную версию 3.3х. На официальном сайте joomla.org представлены руководства для перехода со старых версий.

Так же существуют плагины для автоматического апгрейда CMS (Migrate Me).

Настройка joomla — расширение migrate me

 

Проверьте используемые плагины в списке уязвимых

Думаю не секрет, что вы знаете о потенциальной угрозе безопасности, которую несет каждый устанавливаемый плагин. Чтобы минимизировать этот риск следует выполнять простые правила:

  • использовать расширения только из официального репозитория extensions.joomla.org
  • перед установкой проверять наличие расширение в списке уязвимых — http://vel.joomla.org/index.php/live-vel

 

Используйте предоставляемый .htaccess-файл

Дистрибутив CMS Joomla версии 3.3х поставляется совместно с файлом htaccess.txt, который содержит правила для защиты от широко известных векторов атак на эту CMS. Вам необходимо переименовать этот файл в .htaccess, чтобы он использовал для защиты возможности веб-сервера Apache, или вставьте следующие строки в уже существующий файл:

RewriteEngine OnRewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]RewriteRule .* index.php [F]

Данные правила будут работать, если на сервере установлен модуль mod_rewrite.

 

Используйте ЧПУ-ссылки

Многие сканеры, которые эксплуатируют уязвимости в joomla, получают списки сайтов из google. Для этого используется техника Google XAK, а конкретно для нас может использоваться вот такой запрос inurl:index.php?option=com_jce. Поисковик выведет список сайтов, на которых установлен плагин JCE.

Чтобы затруднить работу сканерам и одновременно улучшить SEO нашего сайта следует использовать ЧПУ-ссылки:

Настройка joomla — включить ЧПУ

Это можно сделать перейдя в панели управления «Общие настройки» -> «Сайт» -> «Настройки SEO».

 

Защитите панель администрирования

Панель управления сайтом для CMS Joomla расположена по адресу site.com/administrator/. Если сайт использует стандартные настройки, то любой пользователь, зная логин и пароль, может управлять сайтом. Полагаться только на уникальность логина и стойкость пароля не достаточно.

Начиная с версии 3.2.0 в CMS внедрена возможность использования двухфакторной аутентификации. Мы настоятельно рекомендуем включить эту опцию. В этом случае помимо пароля пользователю нужно знать еще и уникальный ключ.

Настройка joomla — включение двухфакторной аутентификации

Включить и настроить эту опцию можно в разделе «Пользователи» -> «Менеджер пользователей» -> Имя вашего пользователя -> «Двухфакторная аутентификация». Воспользуйтесь одним из механизмов: Google Authenticator или YubiKey (мы протестировали Google Authenticator — все заработало с первого раза).

Вот так будет выглядеть форма входа в панель администрирования:

Настройка joomla — двухфакторная аутентификация

Для изменения адреса формы входа можно воспользоваться плагином AdminExile. С его помощью можно установить ключ, который предоставит доступ для входа в панель администрирования (например,site.com/administrator/index.php?myadmin). Если его не указать, то произойдет автоматический редирект на главную страницу вашего сайта.

Настройка joomla — плагин adminexile

Этот же плагин позволит установить список ip-адресов, для которых разрешен доступ в панель управления, и защитит от брутфорса. Устанавливайте плагин версией не нежи 2.3.6.

 

Защитите конфигурационный файл configuration.php

Файл configuration.php расположен в корневой директории Joomla (http://example.com/configuration.php). В нем содержатся параметры подключения к базе данных, ключ шифрования, префикс таблиц, параметры ftp (при использовании).

Если файл будет доступен для злоумышленников, то у них появляется реальный шанс получить полный доступ до вашего сайта. На очень многих хостингах установлена панель управления базой данных — phpMyAdmin.  Использование параметров из файла configuration.php позволит пройти авторизацию в этой панели.

Основная причина доступности файла — небезопасная конфигурация. Достаточно  часто администратор сайта создает резервные копии вида:

  • сonfiguration.php.old
  • сonfiguration.php1
  • сonfiguration.php.test
  • сonfiguration.php~

При использовании таких имен файлы перестают обрабатываться как php-скрипты. При прямом запросе (например, http://example.com/сonfiguration.php.old) злоумышленник получит все содержимое.

Не храните резервные копии конфигурационного файла в пределах вашего сайта. Для дополнительной защиты поместите следующий код в файл .htaccess, расположенный в корне сайта:

<Files ~ «^configuration\.»>    Order allow,deny    Deny from all    Satisfy all</Files>

Так вы заблокируете доступ к этому файлу (и всем его копиям) средствами веб-сервера.

 

Настройте права доступа для ключевых файлов и директорий

Как правило, при проведении атаки злоумышленник пытается записать свой код в уже существующие файлы системы. Таким образом он хочет дополнить эти файлы скрытым функционалом. Для того чтобы максимально затруднить его задачу необходимо выставить определенные права на ключевые файлы и директории. Для CMS Joomla:

  • 444 на site.ru/index.php
  • 444 на site.ru/configuration.php
  • 444 на site.ru/templates/ваш шаблон/index.php
  • 555 на директорию site.ru/templates/ваш шаблон/

Не забудьте временно изменить права на 644 для файла configuration.php, когда будете вносить изменения в панели администрирования.

 

Запретите свободную регистрацию пользователей

Если бизнес-модель вашего сайта не подразумевает регистрацию пользователей, то вам необходимо ее отключить в панели управления CMS. По умолчанию она включена.

Для отключения перейдите в панель «Пользователи» -> «Менеджер пользователей» -> «Настройки».

Настройка joomla — запрет на регистрацию

Некоторые уязвимости требуют для своей реализации зарегистрированного пользователя. При отключении авторегистрации эксплуатация будет затруднена. Если же регистрация нужна, тогда включите уведомление администратора.

 

Перенесите директории «logs/» и «tmp/» за пределы сайта

Служебные директории logs и tmp по умолчанию находятся в корневой директории сайта. Мы рекомендуем перенести их за пределы «видимости». Как правило это на один уровень выше их текущего положения на файловой системе.

Сначала переместите директории, а потом установите соответствующий путь в панели администрирования («Общие настройки»).

Настройка joomla — перенос логов

Настройка joomla — перенос tmp

 

Используйте плагины безопасности

Достаточно много расширений для повышения безопасности CMS представлено в официальном репозитории. Есть среди них как платные, так и бесплатные решения. Попробуйте начать с «Admin Tools«. Его основные возможности:

  • экстренный перевод сайт в оффлайн режим
  • список ip-адресов, для которых разрешен доступ в панель администрирования
  • редактирование префикса таблиц в базе данных
  • Web Application Firewall
  • менеджер расширений файлов
  • дополнительная защита панели администрирования с помощью .htaccess

Настройка joomla — расширение admin tools

 

Блокируйте небезопасные запросы

Для защиты от наиболее опасных типов уязвимостей (sql-инъекций и lfi) вы можете воспользоваться плагином Marco’s SQL Injection.

Настройка joomla — расширение marcos

Основные возможности расширения:

  • фильтрация и блокировка sql-инъекций и lfi в запросах GET, POST, REQUEST
  • уведомление администратора по электронной почте
  • белый список компонентов, для которых не применять защиту
  • блокирование ip-адреса злоумышленника

 

Используйте механизмы для активного аудита

Если вы читали нашу статью о защите блога на WordPress, то в одном из пунктов мы рассказывали о сканере WPScan. Он позволяет просканировать блог снаружи и определить наиболее уязвимые места.

К сожалению аналогичного уровня сканера для Joomla в настоящее время нет. Joomscan от OWASP можно не брать в расчет. Продукт не обновлялся с мая 2013 года, список уязвимых плагинов также далек от сегодняшнего дня.

Для внешнего аудита безопасности воспользуйтесь нашим SaaS-решением: weBBez. Непосредственно для CMS Joomla мы умеем:

  • искать копии конфигурационного файла
  • осуществлять поиск уязвимых плагинов
  • обнаруживать ошибки администрирования CMS
  • осуществлять поиск сигнатур Joomla-вирусов на вашем сайте

 

Вывод. Для защиты вашего сайта на основе cms Joomla рекомендуется выполнить следующие шаги и рекомендации:

  • используйте сгенерированный префикс таблиц
  • придумайте имя администратора — не «admin»
  • не используйте FTP
  • удалите директорию «installation/»
  • обновляйте ядро, установленные плагины и темы
  • не используйте неподдерживаемые версии Joomla: 1.0х, 1.5х, 1.6х и 1.7х
  • проверьте используемые плагины в списке уязвимых
  • используйте предоставляемый .htaccess-файл
  • используйте ЧПУ-ссылки
  • защитите панель администрирования
  • защитите конфигурационный файл configuration.php
  • настройте права доступа для ключевых файлов и директорий
  • запретите свободную регистрацию пользователей
  • перенесите директории «logs/» и «tmp/» за пределы сайта
  • используйте плагины безопасности
  • блокируйте небезопасные запросы
  • используйте механизмы для активного аудита

 

Ссылки на упомянутые программные продукты и сервисы:

  • Joomla — http://joomla.org
  • официальный репозиторий — http://extensions.joomla.org
  • ProFiles — http://extensions.joomla.org/extensions/core-enhancements/file-management/24160
  • Akeeba Backup — http://extensions.joomla.org/extensions/access-a-security/site-security/backup/1606
  • Migrate Me — extensions.joomla.org/extensions/migration-a-conversion/joomla-migration/24238
  • список уязвимых расширений — http://vel.joomla.org/index.php/live-vel
  • AdminExile — http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/15711
  • Admin Tools — http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/14087
  • Marco’s SQL Injection — http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731
  • Joomscan — http://sourceforge.net/projects/joomscan/
  • phpMyAdmin — http://www.phpmyadmin.net/home_page/index.php
  • WPScan — http://wpscan.org/
  • weBBez — http://webbez.ru/

webbez.ru

Описание услуг: Услуга очистки сайта

Для стабильной работы и успешного развития любого веб-проекта владелец сайта должен уделять существенное внимание вопросам безопасности сайта. К сожалению, многие владельцы сайтов не задумываются о том, что в последние несколько лет интернет стал намного «агрессивнее» чем несколько лет назад: средства для взлома становятся более доступными, получили широкое распространение бесплатные CMS с открытым кодом, да и сам взлом практически ничего не стоит, как следствие растет число атак на сайты.Если ваш ресурс бесперебойно функционировал в течение последних лет и вы не предпринимали для этого никаких специальных действий, это не значит, что взлом Вашего сайта не может произойти в любой момент сегодня.

Профилактика безопасности сайта критически важна для любых проектов в интернете. Под прицелом хакера может оказаться любой сайт, цель злоумышленника – заработать деньги, а способов монетизации взломанных сайтов достаточно.

Если вы уже столкнулись со взломом и заражением сайта, то должны понимать, что недостаточно просто вылечить веб-ресурс, очистив его от вредоносного кода. После лечения необходимо закрыть уязвимости и возможность успешного проведения новых атак.

Между тем, защита важна и для «здоровых» сайтов. Речь идет о мерах, направленных на повышение устойчивости сайтов к несанкционированным вторжением извне. Дешевле защитить сайт превентивно.

Опираясь на многолетний опыт работы в сфере интернет-технологий и помогая владельцам сайтов восстанавливать работоспособность сайтов после взлома - специалисты компании ValueHost разработали собственную процедуру защиты сайтов клиентов.

Очистка сайта выполняется скриптом нашей разработки. Удаляются вредоносные скрипты и вставки кода в служебные файлы. Дополнительно производится анализ недавно изменённых файлов сайта и файлов, к которым недавно осуществлялись обращения из интернета. К сожалению нет 100% гарантии удаления всего вредоносного содержимого из файлов сайта; впрочем, такой гарантии никто другой тоже не даст.

В случае возникновения каких-либо вопросов относительно услуги очистики и мониторинга сайта обращайтесь в Поддержку-Онлайн или воспользуйтесь функцией Онлайн-консультант у нас на сайте.

www.valuehost.ru

Защита сайта | Создание сайта

Хочу познакомить Вас с некоторыми фактами из собственного опыта. Возможно, что это кому-то пригодится. Хотя все описанные действия лучше сделать всем. Это поможет предотвратить попытки взлома Ваших сайтов.Теперь всё по порядку. Мой сайт находится на платном хостинге Интернет Хостинг Центр. Хостинг очень хороший и в плане тарифов, и в плане техподдержки. Техподдержка без помощи никогда не оставит. В моём тарифном плане предусмотрена допустимая нагрузка для CPU: 43, для MySQL: 500. Этой нагрузке вполне достаточно для сайта с посещаемостью 500-600 хостов в день. Нормальная нагрузка будет в пределах 18-38.

По началу всё было нормально. Я даже понятия не имел о значениях этих цифр. Но в один день пришло письмо с предупреждением о превышении допустимой нагрузки. Поскольку я в этом ничего не понимал, задал им вопрос — из-за чего это и что делать? Ответ пришел быстро — посмотрите Log-файлы.... Если бы я еще знал где их искать.

Покопавшись в админке я их всё-таки нашел. А толку.....посмотрел да и только. Пишу опять вопрос, поскольку ничего не понимаю — а что там смотреть? В ответ — Ваш сайт пытаются взломать. Пришлось разбираться с логами. Увидел в логах очень много POST-запросов с одного IP-адреса. Все запросы шли ко входу в админку сайта, т. е. ссылки выглядели так: http://вашсайт/wp-admin/login

 

 

Для начала я заблокировал этому IP вход на сайт в файле .htaccess. После этого пошли атаки с другого адреса. В общем всё это продолжалось в течении 3-х дней. Все адреса блокировались. Пришел совет от хостера заблокировать вход в админку всем IP-адресам, кроме своего. Сейчас рассмотрим как это делается.

Необходимо в файле .htaccess прописать следущее:

<Files wp-login.php>

order deny,allow

deny from all

allow from хх.ххх.

</Files>

Вместо иксов прописываете свой IP-адрес. Если у Вас постоянный адрес, то пишите его полностью, а если динамический, то лучше записать только две первые цифры.

Для усиления защиты необходимо дополнительно защитить папку wp-admin. Для этого необходимо в этой папке создать файл .htaccess. Принцип такой же, запретить вход в папку всем IP-адресам, кроме своего. В самой папке wp-admin файла .htaccess нет, поэтому его нужно создать в простом блокноте, где напишите следующий сценарий:

<LIMIT GET>

order deny,allow

deny from all

allow from хх.ххх.

</LIMIT>

Вместо иксов пропишете свой IP-адрес. Сохраняя файл не забудьте написать его название - .htaccess. Теперь остаётся загрузить этот файл в папку wp-admin.

После всего проделанного большие нагрузки на сайт пропали. Можно еще добавить к защите сайта смену логина и пароля для входа в админку, смену префикса таблиц в базе данных

mehelps.ru

Защита сайта от взлома. Почему необходимо защищать вылеченные сайты?

Нам часто задают один и тот же вопрос: «Можно ли ограничиться удалением вредоносного кода и отказаться от сопутствующих услуг по защите сайта от взлома – «цементированию» веб-ресурса?»

Главный камень преткновения – отсутствие понимания, для чего нужна защита. Клиент готов платить за удаление вирусов на сайте и мобильного редиректа, за ликвидацию спама на хостинге, за устранение проблемы, связанной с распространением фишингового контента или вредоносного ПО. Другими словами за все, за что блокирует хостинг-компания или поисковые системы. При этом защита сайта от взлома кажется ненужной дополнительной услугой, которую специалисты по безопасности «навязывают» вместе с пакетом услуг.

«Мне требуется срочно удалить редирект, - пишет клиент, - остальное закажу у вас позже».

Рассуждая так, владелец веб-сайта совершает большую ошибку. Само по себе удаление вредоносного кода приносит краткосрочный результат и неэффективно, так как это следствие проблемы, а не причина. Незакрытые уязвимости и отсутствие на сайте защиты оставляют злоумышленнику возможность атаковать ваш сайт снова. Это может произойти уже завтра, через неделю или через несколько часов после очистки сайта.

Если сайт был взломан с целью заработка, хакер не сразу оставит вас в покое, он обязательно попытается атаковать сайт еще раз. Легче и дешевле взломать “жертву” повторно, чем искать новую.

Именно поэтому мы предлагаем не просто очистить сайт от вредоносного кода, но сразу же закрыть уязвимости и поставить на него защиту. Наша комплексная услуга (сканирование, лечение и установка защиты от взлома) – это не услуги на выбор, а необходимый минимум, который требуется для гарантированного лечения сайтов и предотвращения повторных взломов и заражений вашего сайта.

Если вам предлагают удалить вирусы с вашего веб-ресурса и при этом ни слова не говорят про обеспечение его безопасности в дальнейшем, задумайтесь: результат такого лечения сомнителен. Да, вам окажут услугу по очистке инфицированного сайта, но не смогут дать гарантий, что веб-проект повторно не взломают. 

Получить более подробную информацию о защите сайта от взлома силами специалистов компании «Ревизиум» можно по ссылке или отправив запрос на [email protected]

 

Обсуждаем и комментируем

revisium.com

Защита сайта | Делаем сайт своими руками

core 09.08.2017 Защита сайта

У меня на сайтах стоит плагин WordPress File Monitor для отслеживания изменений в файлах. Это помогает вовремя обнаружить зловредные внедрения, совершаемые хакерами. Так вот, на двух сайтах,…

25.10.2016 Защита сайта

Различные боты и роботы способны создавать существенную нагрузку на хостинг, особенно при их одновременном посещении сайта. Если у вас виртуальный хостинг, то обычно этого не замечаешь,…

27.09.2015 Защита сайта

Сайты на WordPress, как правило, подвергаются беспрерывным попыткам разного рода взлома. Это связано с большой распространенностью этого движка. Если вы посмотрите лог обращений к сайту,…

15.02.2014 Защита сайта

WordPress, конечно, хороший движок, но он также очень популярен у хакеров, взламывающих чужие сайты. Недавно я обнаружил существенное увеличение нагрузки на хостинг, где хранятся несколько…

06.01.2014 Защита сайта

Проблема защиты сайта от спама встает перед вебмастером почти сразу же после начала работы сайта, и становится особенно актуальной, как только сайт или блог набирают популярность.…

Защита от спама

Защита от спама – это одна из главных проблем многих блоггеров. Особенно остро данная проблема касается популярных и посещаемых блогов, ведь чем выше посещаемость, тем больше спамеров…

09.11.2013 Защита сайта

Рано или поздно любой владелец сайта задумывается над сохранностью данных своего сайта. Например, может произойти сбой на сервере вашего хостера и файлы сайта или база данных будут…

24.09.2013 Защита сайта

Так уж случилось, что WordPress, являясь самым популярным движком для сайтов, одновременно является самой популярной платформой у хакеров, которые пытаются взломать ваш сайт и установить…

delaemsait.info