Тема „Сигурност“ винаги е актуална. Сигурността не е еднократно действие, а процес на непрекъснато подобрение.
Наскоро ви разказахме за рисковете, които крият неинсталираните системи в хостинг акаунтите. Днес ще обърнем внимание какви рискове крият адреси като http://moiatsite.com/backup.zip и http://moiatsite.com/old.
Архив или с други думи бекъп – едва ли има потребител, който да не е убеден в ползата да се генерира и поддържа архив на информацията. Особено важно е при ползването на сайт и имейли – основите на дигиталното ни присъствие.
Ние генерираме системни архиви на всички хостинг акаунти и Managed услуги. Въпреки това винаги сме казвали и казваме – важно е и нашите клиенти да генерират и съхраняват своите архиви. Включително и особено преди да се правят промени по съдържанието на хостинг услугите.
Какви грешки обаче могат да се допуснат при архивите?
Достъпност на архив в публична директория
Възможните ситуации тук са две:
- предстои да качите сайта на нова хостинг услуга;
- генериране на архив на вече активно съдържание.
Ако предстои да качите вашия сайт на нов хостинг акаунт, най-често първо се качва архивния файл по FTP. След това се разархивира, например през файловия мениджър на контролния панел.
Ако архивът е разположен в public_html директорията или в основната директория на сайта, този архив е публично достъпен. Повече за структурата и основните директории в хостинг акаунта можете да научите на нашата помощна страница.
По подразбиране, при зареждане на даден домейн (URL адрес) се зарежда начален (индексен) файл с име index.html, index.php или др. В случай че няма индексен файл, по подразбиране при всички споделени хостинг акаунти и Managed VPS-и, се показва съобщение Forbidden и не се визуализира съдържанието на хостинг акаунта.
Ако обаче името на архивния файл е често срещано, като например site.zip, backup.zip, backup.tar.gz, archive.tar.gz и др., този адрес може да бъде налучкан и вашият архив да бъде свободно достъпен. По този начин някой друг лесно може да се сдобие с вашата информация!
Това важи с пълна сила не само за файловете за сайта, но и за базата данни и имейлите. Ако в архива се съдържа и копие на базата данни и имейлите, в една такава ситуация трето лице може да получи всички ваши данни.
Експорт на базата данни, наличен в публично достъпна директория
Въпреки че го споменаваме по-горе, обръщаме и специално внимание на този случай. Ако в публично достъпна директория има наличен експорт на базата данни, то той може да бъде свален. Заедно с това и вашите конкуренти могат да се сдобият с всички ваши данни – пароли за сайта, клиенти, информация за поръчки, лични данни и др.
Старата версия на сайта, налична в директория old, backup, archive
С развиването на технологиите неизменно идва време за промяна. Вече имате нов сайт и нямате търпение да го качите. Но не ви се иска да изтривате старият сайт. На пръв поглед може да ви се стори добро решение да преместите стария сайт да в директория old, backup, archive или др.
Какви рискове крие това?
Обикновено всички сили се насочват към актуализация и поддръжка на новия сайт. Старият сайт обикновено остава на заден план, включително обновяването на системата. Неприлагането на новите версии обаче крие риск в сигурността. А тъй като и двата сайта са достъпни в един хостинг акаунт, рискът в сигурността е двоен.
Съвети от support-a
Като знаем какви са рисковете, ще споделим и добрите практики в нашите съвети от съпорта:
- Първо проверете дали имате архив в основната директория на сайта. Ако имате такъв, най-добре е да го запазите локално при вас и да го изтриете от хостинг акаунта.
- Ако сте имали стара версия на сайта и променяте изцяло системата и визията на сайта, не задавайте име на директорията
archive,old,backup. Това е само име на директорията, но съдържанието в нея е напълно достъпно. Ако то не ви е необходимо, по-добре го изтрийте. - Бъдете внимателни със съхранението на архиви. След като генерирате архив, своевременно го свалете и запазете локално при вас.
- Използвайте генериране на архиви от контролния панел cPanel – при генериране на бекъп през cPanel, архивът се генерира в основната /home директория на хостинг акаунта. Тази директория не е публично достъпна и архивът е на сигурно място.
- Можете да изискате и последния системно генериран архив от контролния панел cPanel от меню „Backup Manager by SuperHosting”, който нашият СуперЕкип разработи специално за нашите СуперКлиенти.
- Ако ползвате готов плъгин или модул към сайта за генериране на архив, проверете внимателно къде се генерира архивът и дали е публично достъпен. След генериране на архив отново го свалете и запазете локално при вас.
Информацията е богатство. Проверихте ли вече вашите акаунти?
