Кои са чувствителните ресурси, които да не съхранявате в public_html на сайта Ви

Едва ли има потребител, който да не е убеден в ползата да се генерира и поддържа архив на информацията. Особено важно е ако имате сайт и имейли – основите на дигиталното присъствие.

В тази статия ще обърнем внимание какви рискове крият публично достъпните архиви и чувствителни данни, разположени в директорията на сайта.

Архивен файл (бекъп) на файловете/базата може да се намира в хостинг акаунта, например ако:

  • Предстои Ви да качите нов сайт и сте генерирали архив на стария сайт (myoldsite-files.zip, myoldsite-db.sql);
  • Може да сте преместили тези архиви в някоя поддиректория (например /public_html/backup/myoldsite-files.zip);
  • Качили сте инсталационен пакет на някоя система (например wordpress-x-y-z.zip), защото искате да я инсталирате ръчно.

Когато архивът е разположен в public_html директорията или в основната директория на сайта, този архив е публично достъпен. Например: 

  • https://mysite.com/myoldsite-files.zip 
  • https://mysite.com/backup/myoldsite-db.sql

Винаги Ви подсещаме, че е важно да генерирате архив на сайта и да го съхранявате локално на Ваше устройство или някъде на сигурно място. Вижте защо е важно да сте внимателни и бдителни къде съхранявате архивите си.

чувствителни файлове в основната директория на сайта
Чувствителни ресурси в public_html, които са публично достъпни.

WordPress

Ако използвате WordPress, можете с два клика да проверите дали имате рискови файлове в директорията на сайта.

Влезте в cPanel » WordPress Manager » Проверки за сигурност.

Инструментът автоматично сканира съдържанието на home директорията за наличието на архивни файлове и други чувствителни ресурси. И ако има засечени такива, ще видите съобщението „Наличие на архиви, достъпни през уеб“. 

съобщение за наличие на рискови ресурси в директорията на сайта

Кликнете на Показване, за да видите файловете.

списък с рисковите ресурси в директорията на сайта

Изберете една от опциите за всеки от ресурсите. Препоръчително е да преместите файла в сигурна директория (едно ниво над public_html) или да го изтриете, ако не Ви е нужен.

Архивен файл на (файловете на) сайта

Ако името на архивния файл е често срещано, като например site.zip, backup.zip, backup.tar.gz, archive.tar.gz и др., този адрес може да бъде налучкан и Вашият архив да бъде свободно достъпен. По този начин някой друг лесно може да се сдобие с Вашата информация! 

В архива често се съхранява и конфигурационния файл на системата (например ако е WordPress – wp-config.php). В този файл има чувствителни данни – данните за базата данни. Това важи с пълна сила не само за файловете за сайта, но и за базата данни и имейлите. Ако в архива се съдържа и копие на базата данни и имейлите, в една такава ситуация трето лице може да получи всички Ваши данни.

Файл на базата данни (.sql)

Ако в публично достъпна директория има наличен експорт на базата данни, то той може да бъде достъпен и свален. Така трети лица могат да се сдобият с всички Ваши данни в базата – клиенти, информация за поръчки, лични данни и др.

Ако файлът е експорт на базата данни от стария Ви уебсайт, той може да съдържа потенциално чувствителна информация, като например потребителски данни за достъп, лични данни или информация за собственост. Ако този файл е достъпен, злонамерените хакери могат да получат достъп до тези чувствителни данни и да злоупотребят с тях.

Директория “old”, “backup” или “archive”

Къде съхранявате старата версия на сайта?

С развитието на технологиите неизменно идва време за промяна. Вече имате нов сайт и нямате търпение да го качите. Но не Ви се иска да изтривате стария сайт. На пръв поглед може да Ви се стори добро решение да преместите стария сайт в директория old, backup, archive или др.

Какви рискове крие това?

Старият сайт си остава „стар“ – не се обновява, не се прилагат поправките в сигурността от новите версии. Обикновено всички сили се насочват към актуализация и поддръжка на новия сайт. Старият сайт остава на заден план, включително обновяването на системата. Неприлагането на новите версии обаче крие риск за сигурността заради вероятни уязвимости в кода. А тъй като и двата сайта са достъпни в един хостинг акаунт, рискът в сигурността е двоен.

Достъп до чувствителни данни. Старият сайт все пак може да съдържа чувствителни данни в базата данни. Рисковете са същите като при наличието на архивен файл на сайта.

Инсталационен пакет на CMS платформа

Въпреки че вече е много лесно да се инсталира почти всяка CMS платформа, за която се сетите, през Softaculous, възможно е в някои случаи да се наложи да използвате ръчна инсталация – чрез качване на инсталационен пакет в акаунта. Най-често това ще е архивен файл, който се разархивира и в полученото съдържание се намира стартиращ инсталацията PHP файл. Например при ръчната инсталация на WordPress в хостинг акаунта се качва архивния файл wordpress-x-y-z.zip и се разархивира. А процедурата по инсталация ще се стартира, като се зареди сайтът в браузъра.

Не искате някой друг да довърши инсталацията на системата в хостинг акаунта. Ако това се случи, той може да опита да извърши зловредни действия – например след това през административния панел да промени системните файлове на платформата и да вмъкне зловреден код в тях. 

Ако използвате WordPress, активирайте допълнителната защита – да не могат да се редактират системните файлове през администрацията. Влезте в WordPress Manager » Проверки за сигурност » изключете възможността за Редакция на файлове през администрацията

опцията за редактиране на файлове през администрацията е активирана
Възможността за редакция на файлове през администрацията е включена.
опцията за редактиране на файлове през администрацията е деактивирана
Не е позволено да се редактират системните файлове на WordPress през администрацията му.

Защита на достъпа до ресурс в public_html

Важно: Препоръчително е ресурсът да се премести извън public_html директорията. Например едно ниво нагоре – в /home/cpaneluser. 

Ако поради някаква причина се налага да държите чувствителен ресурс в уеб директорията на сайта, то можете да приложите някаква защита от нежелан достъп.

Има различни начини за защита на достъпа до ресурсите. Някои са подходящи за начинаещи, други за по-напреднали потребители.

Защита чрез данни за достъп (потребител и парола)

При опит да се зареди съдържанието на директорията, в която се намира чувствителният ресурс, потребителят ще трябва да въведе потребител и парола за достъп.

Можете да активирате тази защита през cPanel » Директории защитени с парола

задаване на потребител и парола за достъп до директория

Защита чрез htaccess файла

В htaccess файла, намиращ се в същата директория с ресурса, който искате да защитите, поставете следните правила:

<Files "mybackup.file">
	Order Allow,Deny
	Deny from All
</Files>

– mybackup.file заменете с името на файла;


Накратко основните рисковете за сигурността от публично достъпните архиви са:

  • Разкриване на чувствителна информация. Архивираните файлове могат да съдържат чувствителна информация. Например конфигурационни файлове, в които се съдържат данните за връзка с базата данни. Ако тези файлове са публично достъпни, те могат да бъдат използвани от злонамерени лица, за да получат достъп до данните в базата данни.  
  • Компрометиране на актуалния сайт. Архивираните файлове може да са на неактуална версия на приложението или негови компоненти (теми, плъгини), които вече имат известни уязвимости в сигурността. Злонамерените хакери могат да се възползват от тези уязвимости, за да компрометират актуалния сайт.

За да се намалят тези рискове, е важно редовно да се проверява съдържанието на основната директория на сайта, да се ограничава достъпа до чувствителните файлове и директории и редовно да се актуализират приложението и компонентите му. 

Вижте още по темата за сигурността на сайта: Кои са 10-те най-често срещани заплахи за сигурността на сайта?

Абонирайте се за СуперБлога, за да получавате навреме новини и помощна информация, свързана със защитата и сигурността на Вашите сайтове и пощи.

Мадлена Методиева
Мадлена Методиева
Меган е част от СуперМаркетинг екипа. Мисията ѝ е старателно да попълва е-библиотеката на СуперХостинг.БГ с полезни и помощни статии.
0 0 votes
.
Абониране
Уведоми ме при
guest

0 Коментара
Inline Feedbacks
View all comments
3 стъпки за органично бизнес онлайн присъствие

3 стъпки за органично бизнес онлайн присъствие [Аудио]

2
Под „органично присъствие“ имаме предвид всички начини, чрез които потребителите могат да разберат за Вашия бизнес, без да плащате за позициониране (реклама).
11 мита за онлайн присъствието

11 мита за онлайн присъствието [Аудио]

2
Темата е: онлайн присъствие - от изграждането на сайт до неговото развитие и следователно развитието на Вашия бизнес. Разберете кой е първият мит за разбиване!
4 стъпки към продаващия онлайн магазин

Защо онлайн магазинът ми не продава? 4 стъпки към успешен онлайн бизнес [Аудио]

0
Онлайн търговията е многокомпонентен и продължителен процес. Той не свършва с направата на сайт или пускането на една реклама, напротив - с тях едва започва.