
Полагаю многие фотографы уделяют безопасности своего веб-сайта немало времени, но мало кто задумывается — а с чего начать? Признаться, я и сам не сразу задался этим риторическим вопросом.
Почему? Наверно, потому что базовый уровень безопасности обеспечивает хостинг-компания и своевременные обновления CMS, и лишь потом — поведение пользователя. «Поведение…» — о чем речь?
Начнем с того, что неплохо бы иметь общее представление об основных видах угроз, которые актуальны в наши дни. Узнать об этом можно из разных источников, например:
- Сообщество OWASP
- Блоги разработчиков программного обеспечения:
После этого можно переходить к последовательным действиям, направленным на повышение безопасности наших веб-сайтов.
Как защитить веб-сайт от взлома
Об угрозе взлома (и последствиях, — ред.) наслышаны многие (особенно те, у кого сайта нет, и не предвидится, — парадокс, согласен), поэтому немудрено, что перво-наперво мы изучаем, применяем и обсуждаем действия, препятствующие получению злоумышленником доступа, к корневой структуре веб-сайта и к личным данным:
- Хороший хостинг
- Правильная настройка CMS
- Специализированные плагины
- Регулярный мониторинг
- Обновление плагинов, тем и CMS
- Внимательность
<…>
Хороший хостинг
Хостинг-компании часто соревнуются в стоимости своих услуг, в гибкости тарифов, но важен опыт подбора конфигураций сервера под конкретную CMS; ну или хотя бы соблюдение очень простых базовых правил:
- механизм распределения прав;
- фильтрация трафика;
- антивирусная защита;
<…>
Хорошим можно считать хостера, который предлагает — помимо всего вышеперечисленного, и базового, настройку .htaccess и прочих конфигурационных файлов под проект. (И совсем не помешает: защита от DDoS-атак и автоматическое резервное копирование.)
Правильная настройка CMS
Речь, конечно же, не про «перепроверку хостера», и «терроризирование» техподдержки, а про учетные записи, политику обновлений плагинов и самой CMS, модерацию комментариев (вот об этом мало кто вспоминает, а ведь фишинг!) и страницу входа пользователя (и ее можно как скрыть или перенести, так и изменить условия входа, — ред.), и т. д., и т. п.
Все это можно сделать вручную, но каждый шаг, кроме разве что политики обновлений, вам в обязательном порядке лучше обсудить с хостером:
- вполне возможно, что сделают все за вас;
- если нет, то подскажут оптимальное решение;
- в любом случае, снижается риск что-то сломать.
Есть и другой путь — плагины.
Специализированные плагины
Под WordPress, выделяют 4:
С течением времени, в плане функционала, они все больше похожи друг на друга, — поэтому выбор сводится к плагину, в котором нужный функционал присутствует в бесплатной версии; либо цена премиальной нас устраивает.
Регулярный мониторинг
Как и члены семьи, веб-сайт требует к себе внимания. Пусть минимального, но все-таки иной раз вечер лучше провести не за просмотром бессмысленного ток-шоу, а за изучением логов (в которых всегда ответы на большинство возникающих вопросов по теме, — ред.) на сервере, и за просмотром данных из панелей для вебмастеров: от Яндекс и Google.
Журнал активности, который можно вести как на стороне хостера, так и через плагин — тоже достоин внимания, хотя бы раз в неделю, особенно если на сайте несколько пользователей.
Ну и конечно, не стоит игнорировать возможности экспресс-сканирования:
Может и паранойя, но все-таки лучше сопоставлять информацию из разных источников — на мой взгляд, так спокойнее.
Обновление плагинов, тем и CMS
Устаревшие, содержащие известные уязвимости плагины — проблема. Вдвойне, если авторы, по неизвестной нам причине, не торопятся с выпуском обновлений, а то и вовсе — забросили поддержку своего плагина и не реагируют на обращения.
Большинство взломов происходит именно по этой причине. Поэтому всегда стоит выбирать и поддерживать те решения, которые не отстают от графика релизов самой CMS.
В целом же, касаясь темы «политика обновлений», стоит внимательно изучить устройство, — основных типов обновлений, и придерживаться здравого смысла:
- минорные релизы CMS — автоматическая установка включена;
- мажорные релизы CMS — автоматическая установка отключена;
- плагины — автоматическая установка отключена (почему).
Отдельно хотелось бы сказать про темы: их тоже лучше обновлять вручную; не потому что от автоматического обновления нарушится безопасность сайта, хотя и такое не исключено, а скорее потому, что полезно быть в курсе вносимых изменений, которые моментально становятся видны всем посетителям веб-сайта. (В результате обновления темы, все изменения, вносимые пользователем вручную в код, теряются. Поэтому либо запоминайте, какие изменения вы вносили, чтобы потом снова добавить фрагменты кода в файлы темы, после ее обновления, либо используйте дочерние темы.)
Внимательность
Ну и напоследок. Мы привыкли защищаться от чего угодно: от выполнения PHP, от инъекций (внедрение SQL-кода, — ред.), от много чего сложного, а вот про пароли забываем…
Сохраняем их в браузере. Используем один пароль для всех сервисов и сайтов; да и пароль-то какой? 12345… Пора, пора перестать лениться и взять за правило:
- используем сложный пароль;
- обновляем его каждые 3-4 месяца;
- храним в надежном менеджере паролей;
- никогда не позволяем браузеру сохранить пароль!
<…>
Как защитить веб-сайт от спама
Отдельно хотелось бы поговорить про спам. Во-первых, потому что его часто используют как против владельца сайта, так и против пользователей, особенно если у нас блог (надеюсь, вы и сами успели заметить, с какой скоростью автоматические сообщения засоряют комментарии). Во-вторых, фишинг — серьезная угроза. В-третьих, защита от спама на стороне хостера — от нее есть толк, но 100% защиты она не дает (равно как и плагины безопасности).
Черный список WordPress и премодерация
Банально, но работает. (Просто вносим слова, по которым вычисляем спамеров, в этот список и сообщения, содержащие запрещенные слова, будут автоматически перемещены в папку «Спам»).
Ну и конечно: активируем «Комментарий должен быть одобрен вручную», — да-да, отнимает минуты жизни, но зато повышает защиту веб-сайта (его пользователей и посетителей).
Akismet и альтернативы
Akismet редко ошибается, но если все-таки захочется его заменить на другой плагин, то стоит обратить внимание на следующие решения:
Все три плагина блокируют спам используя одну технологию — Honeypot (эффективна она, к сожалению, только против спам-ботов, поэтому более полноценная замена, если спам шлют и живые люди — Antispam Bee), их отличие только в настройках: в первом их нет, во втором — они минимальны, а третий плагин работает не только с комментариями WordPress.
Вместо заключения
Абсолютной безопасности не гарантирует никто. Ни разработчики CMS, плагинов и тем, хотя и делают многое, ни авторитетный хостинг-провайдер, делая все от него возможное. Сейчас в наших силах только «снижение риска…» и возможность делать резервные копии.
Последнее я рекомендую делать самостоятельно, вдобавок к бэкапам хостера. Почему? Есть с резервированием на стороне хостинг-провайдера неприятная особенность: если злоумышленник получит доступ к админке хостинга, то резервные копии окажутся скомпрометированы и уже неважно, как он с ними поступит…
Конечно, из этого следует, что защищать нужно и админку хостинга, свой аккаунт, но процесс этот ничем не отличается от защиты учетной записи в любом сервисе, — поэтому не станем в подробностях останавливаться на этом моменте.
Запомним другое: делаем бэкапы и храним их на своих ПК.
Дополнено 23.12.2021
Мир всем, и попутного света на местах фотографических баталий.
Ваш,
Андрей Бондарь.
Добавить комментарий