Как фотографу защитить свой веб-сайт от злоумышленников

Полагаю многие фотографы уделяют безопасности своего веб-сайта немало времени, но мало кто задумывается — а с чего начать? Признаться, я и сам не сразу задался этим риторическим вопросом.

Почему? Наверно, потому что базовый уровень безопасности обеспечивает хостинг-компания и своевременные обновления CMS, и лишь потом — поведение пользователя. «Поведение…» — о чем речь?

Начнем с того, что неплохо бы иметь общее представление об основных видах угроз, которые актуальны в наши дни. Узнать об этом можно из разных источников, например:

• Сообщество OWASP
• Блоги разработчиков программного обеспечения:
  • iThemes
  • Sucuri
  • Wordfence

После этого можно переходить к последовательным действиям, направленным на повышение безопасности наших веб-сайтов.

Как защитить веб-сайт от взлома

Об угрозе взлома (и последствиях, — ред.) наслышаны многие (особенно те, у кого сайта нет, и не предвидится, — парадокс, согласен), поэтому немудрено, что перво-наперво мы изучаем, применяем и обсуждаем действия, препятствующие получению злоумышленником доступа, к корневой структуре веб-сайта и к личным данным:

• Хороший хостинг
• Правильная настройка CMS
• Специализированные плагины
• Регулярный мониторинг
• Обновление плагинов, тем и CMS
• Внимательность

<…>

Хороший хостинг

Хостинг-компании часто соревнуются в стоимости своих услуг, в гибкости тарифов, но важен опыт подбора конфигураций сервера под конкретную CMS; ну или хотя бы соблюдение очень простых базовых правил:

• механизм распределения прав;
• фильтрация трафика;
• антивирусная защита;

<…>

Хорошим можно считать хостера, который предлагает — помимо всего вышеперечисленного, и базового, настройку .htaccess и прочих конфигурационных файлов под проект. (И совсем не помешает: защита от DDoS-атак и автоматическое резервное копирование.)

Правильная настройка CMS

Речь, конечно же, не про «перепроверку хостера», и «терроризирование» техподдержки, а про учетные записи, политику обновлений плагинов и самой CMS, модерацию комментариев (вот об этом мало кто вспоминает, а ведь фишинг!) и страницу входа пользователя (и ее можно как скрыть или перенести, так и изменить условия входа, — ред.), и т. д., и т. п.

Все это можно сделать вручную, но каждый шаг, кроме разве что политики обновлений, вам в обязательном порядке лучше обсудить с хостером:

• вполне возможно, что сделают все за вас;
• если нет, то подскажут оптимальное решение;
• в любом случае, снижается риск что-то сломать.

Есть и другой путь — плагины.

Специализированные плагины

Под WordPress, выделяют 4:

• Wordfence Security
• Sucuri Security
• iThemes Security
• All In One WP Security & Firewall

С течением времени, в плане функционала, они все больше похожи друг на друга, — поэтому выбор сводится к плагину, в котором нужный функционал присутствует в бесплатной версии; либо цена премиальной нас устраивает.

Регулярный мониторинг

Как и члены семьи, веб-сайт требует к себе внимания. Пусть минимального, но все-таки иной раз вечер лучше провести не за просмотром бессмысленного ток-шоу, а за изучением логов (в которых всегда ответы на большинство возникающих вопросов по теме, — ред.) на сервере, и за просмотром данных из панелей для вебмастеров: от Яндекс и Google.

Журнал активности, который можно вести как на стороне хостера, так и через плагин — тоже достоин внимания, хотя бы раз в неделю, особенно если на сайте несколько пользователей.

Ну и конечно, не стоит игнорировать возможности экспресс-сканирования:

• Sucuri SiteCheck
• VirusTotal

Может и паранойя, но все-таки лучше сопоставлять информацию из разных источников — на мой взгляд, так спокойнее.

Обновление плагинов, тем и CMS

Устаревшие, содержащие известные уязвимости плагины — проблема. Вдвойне, если авторы, по неизвестной нам причине, не торопятся с выпуском обновлений, а то и вовсе — забросили поддержку своего плагина и не реагируют на обращения.

Большинство взломов происходит именно по этой причине. Поэтому всегда стоит выбирать и поддерживать те решения, которые не отстают от графика релизов самой CMS.

В целом же, касаясь темы «политика обновлений», стоит внимательно изучить устройство, — основных типов обновлений, и придерживаться здравого смысла:

• минорные релизы CMS — автоматическая установка включена;
• мажорные релизы CMS — автоматическая установка отключена;
• плагины — автоматическая установка отключена (почему).

Отдельно хотелось бы сказать про темы: их тоже лучше обновлять вручную; не потому что от автоматического обновления нарушится безопасность сайта, хотя и такое не исключено, а скорее потому, что полезно быть в курсе вносимых изменений, которые моментально становятся видны всем посетителям веб-сайта. (В результате обновления темы, все изменения, вносимые пользователем вручную в код, теряются. Поэтому либо запоминайте, какие изменения вы вносили, чтобы потом снова добавить фрагменты кода в файлы темы, после ее обновления, либо используйте дочерние темы.)

Внимательность

Ну и напоследок. Мы привыкли защищаться от чего угодно: от выполнения PHP, от инъекций (внедрение SQL-кода, — ред.), от много чего сложного, а вот про пароли забываем…

Сохраняем их в браузере. Используем один пароль для всех сервисов и сайтов; да и пароль-то какой? 12345… Пора, пора перестать лениться и взять за правило:

• используем сложный пароль;
• обновляем его каждые 3-4 месяца;
• храним в надежном менеджере паролей;
• никогда не позволяем браузеру сохранить пароль!

<…>

Как защитить веб-сайт от спама

Отдельно хотелось бы поговорить про спам. Во-первых, потому что его часто используют как против владельца сайта, так и против пользователей, особенно если у нас блог (надеюсь, вы и сами успели заметить, с какой скоростью автоматические сообщения засоряют комментарии). Во-вторых, фишинг — серьезная угроза. В-третьих, защита от спама на стороне хостера — от нее есть толк, но 100% защиты она не дает (равно как и плагины безопасности).

Черный список WordPress и премодерация

Банально, но работает. (Просто вносим слова, по которым вычисляем спамеров, в этот список и сообщения, содержащие запрещенные слова, будут автоматически перемещены в папку «Спам»).

Ну и конечно: активируем «Комментарий должен быть одобрен вручную», — да-да, отнимает минуты жизни, но зато повышает защиту веб-сайта (его пользователей и посетителей).

Akismet и альтернативы

Akismet редко ошибается, но если все-таки захочется его заменить на другой плагин, то стоит обратить внимание на следующие решения:

• Honeypot Anti-Spam
• Honeypot for WP Comment
• WP Armour — Honeypot Anti Spam

Все три плагина блокируют спам используя одну технологию — Honeypot (эффективна она, к сожалению, только против спам-ботов, поэтому более полноценная замена, если спам шлют и живые люди — Antispam Bee), их отличие только в настройках: в первом их нет, во втором — они минимальны, а третий плагин работает не только с комментариями WordPress.

Вместо заключения

Абсолютной безопасности не гарантирует никто. Ни разработчики CMS, плагинов и тем, хотя и делают многое, ни авторитетный хостинг-провайдер, делая все от него возможное. Сейчас в наших силах только «снижение риска…» и возможность делать резервные копии.

Последнее я рекомендую делать самостоятельно, вдобавок к бэкапам хостера. Почему? Есть с резервированием на стороне хостинг-провайдера неприятная особенность: если злоумышленник получит доступ к админке хостинга, то резервные копии окажутся скомпрометированы и уже неважно, как он с ними поступит…

Конечно, из этого следует, что защищать нужно и админку хостинга, свой аккаунт, но процесс этот ничем не отличается от защиты учетной записи в любом сервисе, — поэтому не станем в подробностях останавливаться на этом моменте.

Запомним другое: делаем бэкапы и храним их на своих ПК.

Дополнено 23.12.2021

Мир всем, и попутного света на местах фотографических баталий.

Ваш,

Андрей Бондарь.