Едва ли има потребител, който да не е убеден в ползата да се генерира и поддържа архив на информацията. Особено важно е ако имате сайт и имейли – основите на дигиталното присъствие.
В тази статия ще обърнем внимание какви рискове крият публично достъпните архиви и чувствителни данни, разположени в директорията на сайта.
Архивен файл (бекъп) на файловете/базата може да се намира в хостинг акаунта, например ако:
- Предстои Ви да качите нов сайт и сте генерирали архив на стария сайт (myoldsite-files.zip, myoldsite-db.sql);
- Може да сте преместили тези архиви в някоя поддиректория (например /public_html/backup/myoldsite-files.zip);
- Качили сте инсталационен пакет на някоя система (например wordpress-x-y-z.zip), защото искате да я инсталирате ръчно.
Когато архивът е разположен в public_html директорията или в основната директория на сайта, този архив е публично достъпен. Например:
- https://mysite.com/myoldsite-files.zip
- https://mysite.com/backup/myoldsite-db.sql
Винаги Ви подсещаме, че е важно да генерирате архив на сайта и да го съхранявате локално на Ваше устройство или някъде на сигурно място. Вижте защо е важно да сте внимателни и бдителни къде съхранявате архивите си.
WordPress
Ако използвате WordPress, можете с два клика да проверите дали имате рискови файлове в директорията на сайта.
Влезте в cPanel » WordPress Manager » Проверки за сигурност.
Инструментът автоматично сканира съдържанието на home директорията за наличието на архивни файлове и други чувствителни ресурси. И ако има засечени такива, ще видите съобщението „Наличие на архиви, достъпни през уеб“.
Кликнете на Показване, за да видите файловете.
Изберете една от опциите за всеки от ресурсите. Препоръчително е да преместите файла в сигурна директория (едно ниво над public_html) или да го изтриете, ако не Ви е нужен.
Архивен файл на (файловете на) сайта
Ако името на архивния файл е често срещано, като например site.zip, backup.zip, backup.tar.gz, archive.tar.gz и др., този адрес може да бъде налучкан и Вашият архив да бъде свободно достъпен. По този начин някой друг лесно може да се сдобие с Вашата информация!
В архива често се съхранява и конфигурационния файл на системата (например ако е WordPress – wp-config.php). В този файл има чувствителни данни – данните за базата данни. Това важи с пълна сила не само за файловете за сайта, но и за базата данни и имейлите. Ако в архива се съдържа и копие на базата данни и имейлите, в една такава ситуация трето лице може да получи всички Ваши данни.
Файл на базата данни (.sql)
Ако в публично достъпна директория има наличен експорт на базата данни, то той може да бъде достъпен и свален. Така трети лица могат да се сдобият с всички Ваши данни в базата – клиенти, информация за поръчки, лични данни и др.
Ако файлът е експорт на базата данни от стария Ви уебсайт, той може да съдържа потенциално чувствителна информация, като например потребителски данни за достъп, лични данни или информация за собственост. Ако този файл е достъпен, злонамерените хакери могат да получат достъп до тези чувствителни данни и да злоупотребят с тях.
Директория “old”, “backup” или “archive”
Къде съхранявате старата версия на сайта?
С развитието на технологиите неизменно идва време за промяна. Вече имате нов сайт и нямате търпение да го качите. Но не Ви се иска да изтривате стария сайт. На пръв поглед може да Ви се стори добро решение да преместите стария сайт в директория old, backup, archive или др.
Какви рискове крие това?
Старият сайт си остава „стар“ – не се обновява, не се прилагат поправките в сигурността от новите версии. Обикновено всички сили се насочват към актуализация и поддръжка на новия сайт. Старият сайт остава на заден план, включително обновяването на системата. Неприлагането на новите версии обаче крие риск за сигурността заради вероятни уязвимости в кода. А тъй като и двата сайта са достъпни в един хостинг акаунт, рискът в сигурността е двоен.
Достъп до чувствителни данни. Старият сайт все пак може да съдържа чувствителни данни в базата данни. Рисковете са същите като при наличието на архивен файл на сайта.
Инсталационен пакет на CMS платформа
Въпреки че вече е много лесно да се инсталира почти всяка CMS платформа, за която се сетите, през Softaculous, възможно е в някои случаи да се наложи да използвате ръчна инсталация – чрез качване на инсталационен пакет в акаунта. Най-често това ще е архивен файл, който се разархивира и в полученото съдържание се намира стартиращ инсталацията PHP файл. Например при ръчната инсталация на WordPress в хостинг акаунта се качва архивния файл wordpress-x-y-z.zip и се разархивира. А процедурата по инсталация ще се стартира, като се зареди сайтът в браузъра.
Не искате някой друг да довърши инсталацията на системата в хостинг акаунта. Ако това се случи, той може да опита да извърши зловредни действия – например след това през административния панел да промени системните файлове на платформата и да вмъкне зловреден код в тях.
–
Ако използвате WordPress, активирайте допълнителната защита – да не могат да се редактират системните файлове през администрацията. Влезте в WordPress Manager » Проверки за сигурност » изключете възможността за Редакция на файлове през администрацията.
Защита на достъпа до ресурс в public_html
Важно: Препоръчително е ресурсът да се премести извън public_html директорията. Например едно ниво нагоре – в /home/cpaneluser.
Ако поради някаква причина се налага да държите чувствителен ресурс в уеб директорията на сайта, то можете да приложите някаква защита от нежелан достъп.
Има различни начини за защита на достъпа до ресурсите. Някои са подходящи за начинаещи, други за по-напреднали потребители.
Защита чрез данни за достъп (потребител и парола)
При опит да се зареди съдържанието на директорията, в която се намира чувствителният ресурс, потребителят ще трябва да въведе потребител и парола за достъп.
Можете да активирате тази защита през cPanel » Директории защитени с парола.
Защита чрез htaccess файла
В htaccess файла, намиращ се в същата директория с ресурса, който искате да защитите, поставете следните правила:
<Files "mybackup.file">
Order Allow,Deny
Deny from All
</Files>
– mybackup.file заменете с името на файла;
Накратко основните рисковете за сигурността от публично достъпните архиви са:
- Разкриване на чувствителна информация. Архивираните файлове могат да съдържат чувствителна информация. Например конфигурационни файлове, в които се съдържат данните за връзка с базата данни. Ако тези файлове са публично достъпни, те могат да бъдат използвани от злонамерени лица, за да получат достъп до данните в базата данни.
- Компрометиране на актуалния сайт. Архивираните файлове може да са на неактуална версия на приложението или негови компоненти (теми, плъгини), които вече имат известни уязвимости в сигурността. Злонамерените хакери могат да се възползват от тези уязвимости, за да компрометират актуалния сайт.
За да се намалят тези рискове, е важно редовно да се проверява съдържанието на основната директория на сайта, да се ограничава достъпа до чувствителните файлове и директории и редовно да се актуализират приложението и компонентите му.
Вижте още по темата за сигурността на сайта: Кои са 10-те най-често срещани заплахи за сигурността на сайта?
Абонирайте се за СуперБлога, за да получавате навреме новини и помощна информация, свързана със защитата и сигурността на Вашите сайтове и пощи.
