Общие советы по защите сайта от взлома
Авг.14.2008 
Иногда для защиты скрипта от взлома сайта нужно обращать внимание не на конкретные уязвимости (но их, конечно, нужно устранять), а на защиту сайта в целом (по сути предотвращать уязвимости до их нахождение). В данной статье я расскажу Вам, что нужно периодически проделывать над своим сайтом, чтобы защитить его от взлома.
Если Вы пользуетесь каким–либо скриптом, доступным для свободного скачивания, то следите за bugtracker’ом и периодически обновляйтесь. В новых версиях часто исправляют серьёзные уязвимости, найденные в предыдущих версиях.
Также если на Вашем сайте указано, каким скриптом Вы пользуетесь, то удалите из этой информации номер версии. Если хакер не знает, какая у Вас версия, он может не задействовать уязвимость в той версии скрипта, которая стоит у Вас. Но, повторюсь, лишь “может”, так что всё равно обновляйтесь.
Теперь пройдёмся по ошибкам, которые могут быть в Вашем самопальном скрипте.
1. Пароль хранится в файле, который может быть скачен хакером
Если реквизиты доступа содержатся в файле, то нужно обязательно оградить его от скачивания. Проверьте, можно ли открыть файл, содержащий логин и пароль через адресную строку браузера!
2. Пароль хранится в файле, который индексируют поисковые системы
Исправив предыдущую ошибку, Вы заодно исправите и эту — иногда логин и пароль хранятся в файлах, которые без проблем находит Яндекс или Google! Не исправив эту ошибку, Вы рискуете тем, что хакер даже не специально взломает Ваш сайт, а просто найдёт жертву через поисковик и хакнет первого попавшегося неудачливого web–мастера! Не окажитесь им!
Кстати, закрыть доступ поисковикам можно через robots.txt. Полностью закрывать доступ к сайту не следует (а откуда тогда возьмутся посетители?), а следует только для тех директорий, которые не должен видеть посетитель, а, следовательно, и поисковый робот.
3. Пароль хранится в незашифрованном виде
Пароль нужно хранить в зашифрованном виде. Наиболее предпочтительным видом является хэширование (можно использовать алгоритмы MD5 или SHA1), так как прямым путём получить пароль из хэша невозможно. Но существуют онлайн–базы хэшей, в которых может храниться пароль и к Вашему хэшу, так что используйте неординарные пароли и пароли из случайного набора символов.
Для большей уверенности в надёжности защиты Вашего сайта, почитайте статьи по взлому, которые в свободном доступе опубликованы на хак–ресурсах, и попробуйте применить изложенные там методики, как говорится, “на себе”.
Удачной Вам защиты от взлома!
Добавить комментарий
Вы должны войти