Кои са чувствителните ресурси, които да не съхранявате в public_html на сайта Ви

Едва ли има потребител, който да не е убеден в ползата да се генерира и поддържа архив на информацията. Особено важно е ако имате сайт и имейли – основите на дигиталното присъствие.

В тази статия ще обърнем внимание какви рискове крият публично достъпните архиви и чувствителни данни, разположени в директорията на сайта.

Архивен файл (бекъп) на файловете/базата може да се намира в хостинг акаунта, например ако:

  • Предстои Ви да качите нов сайт и сте генерирали архив на стария сайт (myoldsite-files.zip, myoldsite-db.sql);
  • Може да сте преместили тези архиви в някоя поддиректория (например /public_html/backup/myoldsite-files.zip);
  • Качили сте инсталационен пакет на някоя система (например wordpress-x-y-z.zip), защото искате да я инсталирате ръчно.

Когато архивът е разположен в public_html директорията или в основната директория на сайта, този архив е публично достъпен. Например: 

  • https://mysite.com/myoldsite-files.zip 
  • https://mysite.com/backup/myoldsite-db.sql

Винаги Ви подсещаме, че е важно да генерирате архив на сайта и да го съхранявате локално на Ваше устройство или някъде на сигурно място. Вижте защо е важно да сте внимателни и бдителни къде съхранявате архивите си.

чувствителни файлове в основната директория на сайта
Чувствителни ресурси в public_html, които са публично достъпни.

WordPress

Ако използвате WordPress, можете с два клика да проверите дали имате рискови файлове в директорията на сайта.

Влезте в cPanel » WordPress Manager » Проверки за сигурност.

Инструментът автоматично сканира съдържанието на home директорията за наличието на архивни файлове и други чувствителни ресурси. И ако има засечени такива, ще видите съобщението „Наличие на архиви, достъпни през уеб“. 

съобщение за наличие на рискови ресурси в директорията на сайта

Кликнете на Показване, за да видите файловете.

списък с рисковите ресурси в директорията на сайта

Изберете една от опциите за всеки от ресурсите. Препоръчително е да преместите файла в сигурна директория (едно ниво над public_html) или да го изтриете, ако не Ви е нужен.

Архивен файл на (файловете на) сайта

Ако името на архивния файл е често срещано, като например site.zip, backup.zip, backup.tar.gz, archive.tar.gz и др., този адрес може да бъде налучкан и Вашият архив да бъде свободно достъпен. По този начин някой друг лесно може да се сдобие с Вашата информация! 

В архива често се съхранява и конфигурационния файл на системата (например ако е WordPress – wp-config.php). В този файл има чувствителни данни – данните за базата данни. Това важи с пълна сила не само за файловете за сайта, но и за базата данни и имейлите. Ако в архива се съдържа и копие на базата данни и имейлите, в една такава ситуация трето лице може да получи всички Ваши данни.

Файл на базата данни (.sql)

Ако в публично достъпна директория има наличен експорт на базата данни, то той може да бъде достъпен и свален. Така трети лица могат да се сдобият с всички Ваши данни в базата – клиенти, информация за поръчки, лични данни и др.

Ако файлът е експорт на базата данни от стария Ви уебсайт, той може да съдържа потенциално чувствителна информация, като например потребителски данни за достъп, лични данни или информация за собственост. Ако този файл е достъпен, злонамерените хакери могат да получат достъп до тези чувствителни данни и да злоупотребят с тях.

Директория “old”, “backup” или “archive”

Къде съхранявате старата версия на сайта?

С развитието на технологиите неизменно идва време за промяна. Вече имате нов сайт и нямате търпение да го качите. Но не Ви се иска да изтривате стария сайт. На пръв поглед може да Ви се стори добро решение да преместите стария сайт в директория old, backup, archive или др.

Какви рискове крие това?

Старият сайт си остава „стар“ – не се обновява, не се прилагат поправките в сигурността от новите версии. Обикновено всички сили се насочват към актуализация и поддръжка на новия сайт. Старият сайт остава на заден план, включително обновяването на системата. Неприлагането на новите версии обаче крие риск за сигурността заради вероятни уязвимости в кода. А тъй като и двата сайта са достъпни в един хостинг акаунт, рискът в сигурността е двоен.

Достъп до чувствителни данни. Старият сайт все пак може да съдържа чувствителни данни в базата данни. Рисковете са същите като при наличието на архивен файл на сайта.

Инсталационен пакет на CMS платформа

Въпреки че вече е много лесно да се инсталира почти всяка CMS платформа, за която се сетите, през Softaculous, възможно е в някои случаи да се наложи да използвате ръчна инсталация – чрез качване на инсталационен пакет в акаунта. Най-често това ще е архивен файл, който се разархивира и в полученото съдържание се намира стартиращ инсталацията PHP файл. Например при ръчната инсталация на WordPress в хостинг акаунта се качва архивния файл wordpress-x-y-z.zip и се разархивира. А процедурата по инсталация ще се стартира, като се зареди сайтът в браузъра.

Не искате някой друг да довърши инсталацията на системата в хостинг акаунта. Ако това се случи, той може да опита да извърши зловредни действия – например след това през административния панел да промени системните файлове на платформата и да вмъкне зловреден код в тях. 

Ако използвате WordPress, активирайте допълнителната защита – да не могат да се редактират системните файлове през администрацията. Влезте в WordPress Manager » Проверки за сигурност » изключете възможността за Редакция на файлове през администрацията

опцията за редактиране на файлове през администрацията е активирана
Възможността за редакция на файлове през администрацията е включена.
опцията за редактиране на файлове през администрацията е деактивирана
Не е позволено да се редактират системните файлове на WordPress през администрацията му.

Защита на достъпа до ресурс в public_html

Важно: Препоръчително е ресурсът да се премести извън public_html директорията. Например едно ниво нагоре – в /home/cpaneluser. 

Ако поради някаква причина се налага да държите чувствителен ресурс в уеб директорията на сайта, то можете да приложите някаква защита от нежелан достъп.

Има различни начини за защита на достъпа до ресурсите. Някои са подходящи за начинаещи, други за по-напреднали потребители.

Защита чрез данни за достъп (потребител и парола)

При опит да се зареди съдържанието на директорията, в която се намира чувствителният ресурс, потребителят ще трябва да въведе потребител и парола за достъп.

Можете да активирате тази защита през cPanel » Директории защитени с парола

задаване на потребител и парола за достъп до директория

Защита чрез htaccess файла

В htaccess файла, намиращ се в същата директория с ресурса, който искате да защитите, поставете следните правила:

<Files "mybackup.file">
	Order Allow,Deny
	Deny from All
</Files>

– mybackup.file заменете с името на файла;


Накратко основните рисковете за сигурността от публично достъпните архиви са:

  • Разкриване на чувствителна информация. Архивираните файлове могат да съдържат чувствителна информация. Например конфигурационни файлове, в които се съдържат данните за връзка с базата данни. Ако тези файлове са публично достъпни, те могат да бъдат използвани от злонамерени лица, за да получат достъп до данните в базата данни.  
  • Компрометиране на актуалния сайт. Архивираните файлове може да са на неактуална версия на приложението или негови компоненти (теми, плъгини), които вече имат известни уязвимости в сигурността. Злонамерените хакери могат да се възползват от тези уязвимости, за да компрометират актуалния сайт.

За да се намалят тези рискове, е важно редовно да се проверява съдържанието на основната директория на сайта, да се ограничава достъпа до чувствителните файлове и директории и редовно да се актуализират приложението и компонентите му. 

Вижте още по темата за сигурността на сайта: Кои са 10-те най-често срещани заплахи за сигурността на сайта?

Абонирайте се за СуперБлога, за да получавате навреме новини и помощна информация, свързана със защитата и сигурността на Вашите сайтове и пощи.

Мадлена Методиева
Мадлена Методиева
Меган е част от СуперМаркетинг екипа. Мисията ѝ е старателно да попълва е-библиотеката на СуперХостинг.БГ с полезни и помощни статии.
0 0 votes
.
Абониране
Уведоми ме при
guest

0 Коментара
Inline Feedbacks
View all comments
Пренеси бизнеса си онлайн за няколко часа със собствен сайт

Пренеси бизнеса си онлайн за няколко часа със собствен сайт

0
Дойде моментът на практическите съвети как да пренесете бизнеса си от офлайн към онлайн със собствен сайт. Вижте повече!

Black Friday: 5 работещи тактики за задържане на клиентите след Черния петък

0
Ако искате да бъдете един ход пред конкурентите си, време е да помислите как да задържите вече спечелените клиенти по време на кампанията. 
6 причини за съобщение Internal Server Error 500

6 причини за съобщение Internal Server Error 500 [Аудио]

11
Причините за генерирането на това съобщение може да са най-различни - некоректно изпълняващ се скрипт в сайта, некоректни права на файлове и директории и други