Тема “Сигурност” винаги е актуална. Сигурността не е еднократно действие, а процес на непрекъснато подобрение.
Наскоро ви разказахме за рисковете, които крият неинсталираните системи в хостинг акаунтите. Днес ще обърнем внимание какви рискове крият адреси като http://moiatsite.com/backup.zip и http://moiatsite.com/old.
Архив или с други думи бекъп – едва ли има потребител, който да не е убеден в ползата да се генерира и поддържа архив на информацията. Особено важно е при ползването на сайт и имейли – основите на дигиталното ни присъствие.
Ние генерираме системни архиви на всички хостинг акаунти и Managed услуги. Въпреки това винаги сме казвали и казваме – важно е и нашите клиенти да генерират и съхраняват своите архиви. Включително и особено преди да се правят промени по съдържанието на хостинг услугите.
Какви грешки обаче могат да се допуснат при архивите?
Възможните ситуации тук са две:
- предстои да качите сайта на нова хостинг услуга;
- генериране на архив на вече активно съдържание.
Ако предстои да качите вашия сайт на нов хостинг акаунт, най-често първо се качва архивния файл по FTP. След това се разархивира, например през файловия мениджър на контролния панел.
По подразбиране, при зареждане на даден домейн (URL адрес) се зарежда начален (индексен) файл с име index.html, index.php или др. В случай че няма индексен файл, по подразбиране при всички споделени хостинг акаунти и Managed VPS-и, се показва съобщение Forbidden и не се визуализира съдържанието на хостинг акаунта.
Ако обаче името на архивния файл е често срещано, като например site.zip, backup.zip, backup.tar.gz, archive.tar.gz и др, този адрес може да бъде налучкан и вашият архив да бъде свободно достъпен. По този начин някой друг лесно може да се сдобие с вашата информация!
Това важи с пълна сила не само за файловете за сайта, но и за базата данни и имейлите. Ако в архива се съдържа и копие на базата данни и имейлите, в една такава ситуация трето лице може да получи всички ваши данни.
Въпреки че го споменаваме по-горе, обръщаме и специално внимание на този случай. Ако в публично достъпна директория има наличен експорт на базата данни, то той може да бъде свален. Заедно с това и вашите конкуренти могат да се сдобият с всички ваши данни – пароли за сайта, клиенти, информация за поръчки, лични данни и др.
С развиването на технологиите неизменно идва време за промяна. Вече имате нов сайт и нямате търпение да го качите. Но не ви се иска да изтривате старият сайт. На пръв поглед може да ви се стори добро решение да преместите стария сайт да в директория old, backup, archive или др.
Какви рискове крие това?
Обикновено всички сили се насочват към актуализация и поддръжка на новия сайт. Старият сайт обикновено остава на заден план, включително обновяването на системата. Неприлагането на новите версии обаче крие риск в сигурността. А тъй като и двата сайта са достъпни в един хостинг акаунт, рискът в сигурността е двоен.
Като знаем какви са рисковете, ще споделим и добрите практики в нашите съвети от съпорта:
- Първо проверете дали имате архив в основната директория на сайта. Ако имате такъв, най-добре е да го запазите локално при вас и да го изтриете от хостинг акаунта.
- Ако сте имали стара версия на сайта и променяте изцяло системата и визията на сайта, не задавайте име на директорията archive, old, backup. Това е само име на директорията, но съдържанието в нея е напълно достъпно. Ако то не ви е необходимо, по-добре го изтрийте.
- Бъдете внимателни със съхранението на архиви. След като генерирате архив, своевременно го свалете и запазете локално при вас.
- Използвайте генериране на архиви от контролния панел cPanel – при генериране на бекъп през cPanel, архивът се генерира в основната /home директория на хостинг акаунта. Тази директория не е публично достъпна и архивът е на сигурно място.
- Можете да изискате и последния системно генериран архив от контролния панел cPanel от меню „Backup Manager by SuperHosting”, който нашият СуперЕкип разработи специално за нашите СуперКлиенти.
- Ако ползвате готов плъгин или модул към сайта за генериране на архив, проверете внимателно къде се генерира архивът и дали е публично достъпен. След генериране на архив отново го свалете и запазете локално при вас.
Информацията е богатство. Проверихте ли вече вашите акаунти?