Однажды мой приятель, у которого я занимал место на хостинге, сказал мне: «Один из моих сайтов взломали и залили шелл. Проверяй свой сайт тоже, так как могла залезть и к тебе.» После этой печальной новости я решил выяснить, как же ломают сайты, и как от этого защититься? Об этом я и пишу в сегодняшней статье.
Есть множество способов взлома сайтов, но все способы можно разделить на две группы – брутфорс и дырочки в CMS. От обоих групп нужно защититься.
Первое – это брутфорс(брут). Брут – это подбор пароля с помощью различных программ. Сбрутить (подобрать пароль) могут и ваш аккаунт администратора, и вашу панель хостинга, и вашу базу данных, и ваш e-mail в крайнем случае. Способа защиты от брута два – не «палить» нигде свои важные данные, и ставить очень сложные пароли, чтобы машина, подбирающая пароль, не смогла перебрать такое количество вариантов.
Вторая часть – это баги, дурвеи в разные CMS. Злоумышленники находят баги в модулях сайта и пользуются ими для получение доступа в панель администратора, к базам данных и так далее. Полностью защититься от этого нельзя, но есть несколько советов как предотвратить большинство взломов сайта таким образом:
1) Ставить только самые обновленные версии вашей CMS – вероятность гораздо меньше, что в ней хакеры уже нашли баги.
2) Ставить всевозможные заплатки, которые появляются на порталах о защите вашей CMS.
3) Не держите большое количество важных сайтов, или ГС и СДЛ на одном хостинг-аккаунте. Вы вряд ли будете заниматься защитой ГС, а при его взломе и загрузке шелла ( Программа для просмотра и редактирования файлов на сервере, так сказать, браузерный FTP-клиент) на ваш сайт злоумышленники получат доступ ко всем сайтам на вашем аккаунте хостинга. Старайтесь не подвергать опасности важные для вас сайты и минимизировать потери в случае взлома.
4) Ну а если вас всё-таки взломали, устраняйте последствия и «звоните в колокол» – ищите баг и публикуйте его на порталах о защите вашей CMS – там найдут решение новой проблемы.
5) Закрыть доступ выполнения PHP скриптов через htaccess.
Вот и всё. Всё, что я сейчас описал, даст вам защиту вашего сайта. Что уже неплохо.