Още в началото ще споменем препоръката от нашите експерти в Техническия екип, а именно: Превенцията е най-добрата защита!
В следващите редове ще разгледаме основните и най-често срещани методи за защита и повишаване на сигурността на Вашия сайт. Не е нужно да сте уеб мастър, за да се справите с тях… но ако ги направите със сигурност ще се доближите до Secure Master за сайта си! 🙂
Говорейки за успешното Ви онлайн присъствие, нека започнем от там, че най-популярният и удобен начин да се сдобиете със сайт в тези дни са различните Content Management Системи (CMS). Можете Вие сами да направите сайта си, използвайки най-user friendly за Вас безплатна система с отворен код – WordPress, Joomla!, Drupa и др… Може и уеб студио да разработи сайта Ви върху тяхната custom CMS платформа. Тогава, обаче, за сигурността все пак се грижат те.
В тази статия искаме да обърнем по-голямо внимание на CMS-ите с отворен код, за която сигурност в голям % от случаите трябва да се грижите Вие…
Вижте кои са 10-те важни стъпки за защита на сайта:
1. Защитете административния панел
Защитата на администрацията на сайта може да се извърши по два начина, но те се ползват единствено, ако опцията за регистрация на нови потребители не е активна (тъй като новите потребители няма да могат да достъпват акаунта си).
Първи вариант: Ограничаване на достъпа до администрацията само за определени IP адреси
Ако желаете администрацията да се достъпва само от Вашия IP адрес, е необходимо във файл с име .htaccess, разположен в директорията, където се намира login скриптът, да се поставят редовете:
Deny from All
Allow from xxx.xxx.xxx.xxx
Забележка: Необходимо е да заместите xxx.xxx.xxx.xxx с Вашия IP адрес.
Ако достъпвате администрацията от още един IP адрес, можете да активирате достъпа и до него, като добавите още един ред:
Allow from xxx.xxx.xxx.xxx
Втори вариант: Защита на достъпа с допълнително потребителско име и парола
За този вариант може да използвате опцията от контролния панел cPanel » „Директории, защитени с парола / Password Protect Directories“
Помощна информация за това как да извършите настройката, може да намерите в статията в нашата помощна страница: Защита на дадена директория с потребителско име и парола.
За WordPress можете да приложите тези защити автоматично през WordPress Manager by SH » Проверки за сигурност.
2. Променете потребителското име за достъп до административния панел
По подразбиране на повечето CMS-и с отворен код потребителските имена с права на администратор са admin, admi1, administrator и т.н., както и с еднакви ID-та в базата данни…
Тук е необходимо и ще помогне да промените в базата данни на системата името и/или ID-то на потребителското име! Лесно, нали!?
3. „Лошата“ точка с „Добрите“ пароли
Темата с паролите, които използваме не само в сайта си, но и в имейла, банковия акаунт, Facebook, Twitter, Google и т.н… е много наболяла!
Познато ли Ви е? „Аз сега, за да не забравя паролата, ще сложа 123456… толкова е лесна, че едва ли някой би си помислил, че я използвам…“
Да, ама не! Умопомрачаващи са статистиките в световен мащаб за хората, които използват подобни „трудни“ пароли… милиони, милиарди. Това много улеснява работата на злонамерени софтуери или лица, които, искайки да достъпят Вашата чувствителна информация, използват задължително в първите си опити:
1111
123456
654321
0000 и т.н…
От името на целия ни екип Ви съветваме и Ви обръщаме внимание сами да си обърнете внимание на паролите!
Добре е да смените паролата по подразбиране, която се задава от системата при първоначалната инсталация на CMS-а, и да изберете сигурна, силна и по-сложна парола.
Редовно променяйте паролата за достъп до администрацията. Ползвайте силни пароли, които съдържат малки и големи букви, цифри и специални символи.
Ето и Няколко съвета при избора на подходяща парола!
4. Когато тестваме…
Понякога в желанието за тестване на някаква функционалност, се поставят лесни пароли. В последствие, ако се забрави да се изтрият тестовите данни, трети лица могат да налучкат данните, което означава, че неоторизирани от Вас лица ще имат достъп и ще могат да управляват информацията.
Дори и да бързате или създавайки акаунт само за тест, никога не поставяйте лесни пароли!
5. Абонирайте се за новини от разработчиците на системата
Когато за системата бъде пуснато обновление/нова версия или поправка на пропуск/дупка в сигурността на системата, то тези новини се публикуват на официалния сайт на системите.
При версиите на системите има основни версии, например 1.5, 2.5, 2.9, 3.0, 3.1 и т.н. и подверсии, например 1.5.27, 2.5.9, 2.9.1, 2.9.2, 3.0.1, 3.1.1 и т.н. В под-версиите са извършени поправки на кода и пропуските/дупките в сигурността, пропуснати в основната версия.
Силно препоръчително е възможно най-скоро, след като излезе нова подверсия, да се извърши обновяване на системата. Също така препоръчваме, когато излезе нова основна версия да НЕ извършвате веднага обновяването, а да изчакате докато бъде публикувана нейна подверсия.
По този начин възможно най-ефективно ще се предпазвате от опити за злонамерен достъп до Вашия сайт.
От голямо значение е да се извършва ъпдейт и на инсталираните към системата плъгини.
Необходимо е възможно най-скоро при наличието на обновление/ъпдейт, да извършвате обновяване и на всички допълнителни приложения, които ползвате към системите си.
6. Правете редовно резервен архив на сайта си
Препоръчваме с няколко !!! редовно да извършвате бекъп на файловете и базата данни към Вашия сайт.
Можете да използвате плъгини, които да Ви помогнат да извършвате бекъп на базата данни – директно през администрацията на системата. Можете и по стандартния начин да архивирате информацията си през контролния панел на хостинг акаунта.
Това е хубаво да стане Ваш навик като сутрешното кафе! 🙂
Задължително е преди всяка промяна в сайта да се подсигурявате с backup. Също препоръчително (със задължителен характер) е веднъж или няколко пъти седмично, в зависимост от сайта и съдържанието, също да си правите архиви, които да пазите локално при Вас.
Системни бекъпи от наша страна, разбира се се правят, но те са с цел backup на Вашия backup!
Много важно е Вие сами да имате отговорност за сигурността и архивите на сайта си!
7. Плъгини за допълнителна защита
Налични са и много плъгини за допълнителна защита на системата, в зависимост от това, коя конкретно CMS сте избрали. Има приложения за промяна на URL адреса на администрацията, добавяне за брой неуспешни опити за достъп, след което се блокира възможността за достъп до администрацията на сайта и др.
Тук обръщаме внимание, че при използването на подобни разширения трябва да имате предвид, че може да възникне конфликт с някой конкретен плъгин, модул, компонент или тема на Вашия сайт.
Преди да инсталирате и активирате разширение, силно препоръчително е да направите бекъп на сайта и да извършите тестовете на негово работно копие!
8. Кои са най-често срещаните причини за пробиви в сигурността на Вашия сайт?
В тази точка ще Ви запознаем с най-често срещаните причини за пробиви в сигурността на Вашия сайт, начини за повишаване на сигурността и предотвратяване на злонамерен достъп.
Изчерпателна информация, с примери и съвети за защита, можете да намерите в статията: 10-те най-често срещани заплахи за сигурността на сайта | Blog
9. WordPress
В тази точка, на база Вашите запитвания и case studies, създадохме една статия с конкретни съвети за повишаване на сигурността на сайтове с WordPress, които можете да намерите в помощната ни страница тук:
10. 1-9… 9-1 и отново!
Десетата точка е да се върнете и вече сами да преминете от 1-вата до 9-тата точка, правейки и нужните промени в сайта и хостинг акаунта си!
Успех и сигурността на Вашите сайтове до голяма степен е във Вашите ръце, а ние сме тук, за да Ви помагаме и дадем най-добрите насоки!
Абонирайте се за СуперБлога, за да получавате навреме новини и помощна информация, свързана със защитата и сигурността на Вашите сайтове и пощи.