kak-zashchitit-veb-sajt-ot-zloumyshlennikov

Полагаю многие фотографы уделяют безопасности своего веб-сайта немало времени, но мало кто задумывается — а с чего начать? Признаться, я и сам не сразу задался этим риторическим вопросом.

Почему? Наверно, потому что базовый уровень безопасности обеспечивает хостинг-компания и своевременные обновления CMS, и лишь потом — поведение пользователя. «Поведение…» — о чем речь?

Начнем с того, что неплохо бы иметь общее представление об основных видах угроз, которые актуальны в наши дни. Узнать об этом можно из разных источников, например:

После этого можно переходить к последовательным действиям, направленным на повышение безопасности наших веб-сайтов.

Как защитить веб-сайт от взлома

Об угрозе взлома (и последствиях, — ред.) наслышаны многие (особенно те, у кого сайта нет, и не предвидится, — парадокс, согласен), поэтому немудрено, что перво-наперво мы изучаем, применяем и обсуждаем действия, препятствующие получению злоумышленником доступа, к корневой структуре веб-сайта и к личным данным:

  • Хороший хостинг
  • Правильная настройка CMS
  • Специализированные плагины
  • Регулярный мониторинг
  • Внимательность

<…>

Хороший хостинг

Хостинг-компании часто соревнуются в стоимости своих услуг, в гибкости тарифов, но важен опыт подбора конфигураций сервера под конкретную CMS; ну или хотя бы соблюдение очень простых базовых правил:

  • механизм распределения прав;
  • фильтрация трафика;
  • антивирусная защита;

<…>

Хорошим можно считать хостера, который предлагает — помимо всего вышеперечисленного, и базового, настройку .htaccess и прочих конфигурационных файлов под проект. (И совсем не помешает: защита от DDoS-атак и автоматическое резервное копирование.)

Правильная настройка CMS

Речь, конечно же, не про «перепроверку хостера», и «терроризирование» техподдержки, а про учетные записи, политику обновлений плагинов и самой CMS, модерацию комментариев (вот об этом мало кто вспоминает, а ведь фишинг!) и страницу входа пользователя (и ее можно как скрыть или перенести, так и изменить условия входа, — ред.), и т. д., и т. п.

Все это можно сделать вручную, но каждый шаг, кроме разве что политики обновлений, вам в обязательном порядке лучше обсудить с хостером:

  • вполне возможно, что сделают все за вас;
  • если нет, то подскажут оптимальное решение;
  • в любом случае, снижается риск что-то сломать.

Есть и другой путь — плагины.

Специализированные плагины

Под WordPress, выделяют 4:

С течением времени, в плане функционала, они все больше похожи друг на друга, — поэтому выбор сводится к плагину, в котором нужный функционал присутствует в бесплатной версии; либо цена премиальной нас устраивает.

Регулярный мониторинг

Как и члены семьи, веб-сайт требует к себе внимания. Пусть минимального, но все-таки иной раз вечер лучше провести не за просмотром бессмысленного ток-шоу, а за изучением логов (в которых всегда ответы на большинство возникающих вопросов по теме, — ред.) на сервере, и за просмотром данных из панелей для вебмастеров: от Яндекс и Google.

Журнал активности, который можно вести как на стороне хостера, так и через плагин — тоже достоин внимания, хотя бы раз в неделю, особенно если на сайте несколько пользователей.

Ну и конечно, не стоит игнорировать возможности экспресс-сканирования:

Может и паранойя, но все-таки лучше сопоставлять информацию из разных источников — на мой взгляд, так спокойнее.

Внимательность

Ну и напоследок. Мы привыкли защищаться от чего угодно: от выполнения PHP, от инъекций (внедрение SQL-кода, — ред.), от много чего сложного, а вот про пароли забываем…

Сохраняем их в браузере. Используем один пароль для всех сервисов и сайтов; да и пароль-то какой? 12345… Пора, пора перестать лениться и взять за правило:

  • используем сложный пароль;
  • обновляем его каждые 3-4 месяца;
  • храним в надежном менеджере паролей;
  • никогда не позволяем браузеру сохранить пароль!

<…>

Как защитить веб-сайт от спама

Отдельно хотелось бы поговорить про спам. Во-первых, потому что его часто используют как против владельца сайта, так и против пользователей, особенно если у нас блог (надеюсь, вы и сами успели заметить, с какой скоростью автоматические сообщения засоряют комментарии). Во-вторых, фишинг — серьезная угроза. В-третьих, защита от спама на стороне хостера — от нее есть толк, но 100% защиты она не дает (равно как и плагины безопасности).

Черный список WordPress и премодерация

Банально, но работает. (Просто вносим слова, по которым вычисляем спамеров, в этот список и сообщения, содержащие запрещенные слова, будут автоматически перемещены в папку «Спам»).

Ну и конечно: активируем «Комментарий должен быть одобрен вручную», — да-да, отнимает минуты жизни, но зато повышает защиту веб-сайта (его пользователей и посетителей).

Akismet и альтернативы

Akismet редко ошибается, но если все-таки захочется его заменить на другой плагин, то стоит обратить внимание на следующие решения:

Все три плагина блокируют спам используя одну технологию — Honeypot (эффективна она, к сожалению, только против спам-ботов, поэтому более полноценная замена, если спам шлют и живые люди — Antispam Bee), их отличие только в настройках: в первом их нет, во втором — они минимальны, а третий плагин работает не только с комментариями WordPress.

Вместо заключения

Абсолютной безопасности не гарантирует никто. Ни разработчики CMS, плагинов и тем, хотя и делают многое, ни авторитетный хостинг-провайдер, делая все от него возможное. Сейчас в наших силах только «снижение риска…» и возможность делать резервные копии.

Последнее я рекомендую делать самостоятельно, вдобавок к бэкапам хостера. Почему? Есть с резервированием на стороне хостинг-провайдера неприятная особенность: если злоумышленник получит доступ к админке хостинга, то резервные копии окажутся скомпрометированы и уже неважно, как он с ними поступит…

Конечно, из этого следует, что защищать нужно и админку хостинга, свой аккаунт, но процесс этот ничем не отличается от защиты учетной записи в любом сервисе, — поэтому не станем в подробностях останавливаться на этом моменте.

Запомним другое: делаем бэкапы и храним их на своих ПК.

Дополнено 23.12.2021

Мир всем, и попутного света на местах фотографических баталий.

Ваш,

Андрей Бондарь.

Рекомендую к прочтению: