Димон
/.s/a/38/496767602.png
Статус:
Online
Регистрация:
07.10.2012
Сообщения:
754
|
В обычные бытовые будни в интернете взламывают тысячи сайтов. Вы наверное хотите узнать почему и с какой целью взламывают сайты? Конкретного ответа нет, все зависит от характера человека который это делает. Можно выдвинуть три типа.
Взлом сайта происходит из-за недоступности какой либо информации или из-за денег.
Взламывают просто ради практики или поднятия своего настроения.
И последний самый редкий способ, непреднамеренный взлом (по ошибке).
Время от времени в своей работе каждый веб-мастер задается вопросом, какие меры нужно предпринимать, чтобы обезопасить свой сайт от нашествия хакеров и хулиганов. Существует ни один способ защиты.
Давайте разберем все аспекты.
Главные ошибки
Первая ошибка
Это легко подбираемые пароли.(Пароли подобные тем что приведены ниже)
Quote (Пример) qwerty;123456;password;Marina
Вторая ошибка
Это мнение если Ваш компьютер защищен антивирусом (даже лицензионным), Вы не можете быть уверенны, что полностью защищены.
Третья ошибка
Это переход по подозрительным ссылкам. Даже если Вам прислал ссылку Ваш друг, не переходите по ней если не уверены. (Вашего друга могли взломать злоумышленники и прислать Вам эту ссылку).
Даже самый сложный пароль и антивирус не смогут обеспечить Вам защиту, если Вы не будете осторожны.
Это один из самых надежно работающих способов взлома на сегодняшний день.
Четвертая ошибка
Это отправить свои данные получив, например, письмо на электронную почту с просьбой отослать пароль, под каким либо предлогом. Если подумать то зачем администрации Ваш пароль? У них и так есть доступ. Это обман.
Как уберечь свой сайт от взлома?
Пароль.
Пароль - это это секретный набор символов, предназначенный для подтверждения полномочий, личности.
Пароль не должен отражать информацию о Вас и Ваших окружающих. Должны быть случайные символы. Идеальный пароль для панели управления проектом, на мой взгляд, должен выгладить так 0g8f-eT-eXxVkUHxFqwbP3S3OrGjw_Bg
Пароль может быть от 6 до 32 символов, разрешены не все, а только латинские буквы от a до z и в в верхнем регистре от A до Z, также цифры от 0 до 9 и два символа подчеркивание _ и тире - .
uNet-пароль
uNet паролю нужно уделять особое внимание. Злоумышленник имея данный пароль и Ваш email адрес, сможет зайти на любой сайт с uNet-авторизацией. А все Ваши созданные и зарегистрированные сайты на этом uNet аккаунте изначально имеют полномочия администратора. Нанести ущерб не составит труда.
Смена пароля от uNet
Для смены пароля Вам не нужно ввести только новый пароль и пароль администратора вебтопа.
Путь: Настройки > Настройки профиля > Безопасность
Пароль администратора вебтопа
Это глобальная панель управления всеми Вашими созданными сайтами с Вашего uNet аккаунта.
(если, конечно, Вы не задали для отдельного сайта, отдельный пароль)
Смена пароля администратора вебтопа
Путь: Настройки > Настройки профиля > Безопасность
Установить одинаковые пароли на uNet аккаунт и на администратора вебтопа - нельзя.
Использовать отдельный пароль для Вашего проекта.
Для этого заходим в панель управления нажимаем в верхнем меню вкладу безопасность пункт сменить пароль аккаунта (домен Вашего сайта/panel/?a=password)
Пароль не должен совпадать с другими, скажем от почты, от социальной сети и так далее.
Места входа в панель управления.
Самыми потенциально опасными местами входа в панель управления является интернет кафе, компьютер на работе иди институте, школе и любом другом помещении.
Если Вам придется зайти в панель управления не с Вашего личного компьютера.
Вы должны обязательно поставить галочку в поле "Чужой компьютер" и не сохранять пароль когда браузер предложит это сделать. После окончания работ нажать кнопку "Выход".
Доверие пароля третьим лицам.
Доверять пароль нужно только тем в ком Вы уверены.
Безопасность при этом сильно снижается, удалить Ваш сайт без секретного ответа не смогут, а вот принести Вам проблем, вполне.
О секретном вопросе.
Всплыло такое понятие как секретный вопрос - это тоже способ подтверждения полномочий и личности, только уже более высокой степени. Если доверить пароль от панели управления еще можно, то мой совет не давать секретный вопрос никому.
Менять его можно в uNet профиле.
Путь:Настройки > Настройки профиля > Безопасность
Теперь о безопасности и сложно подбираемости Вашего секретного вопроса и ответа.
Обычно Мы ставим то что легче вспомнить. Я рекомендую ставить свой "вопрос на засыпку". (выбирать свой вариант), обосновывая это тем, что все данные перечисленные там можно узнать, если всерьез заняться взломом Вашего проекта. Где это делается объяснять не буду из логических соображений. Так же пример лучше не приводить, эту статью могут читать злоумышленники.
Если вы забыли секретный вопрос Вам нужно написать в службу технической поддержки с панели управления сайтом.
Предоставив доказательства, что это Ваш сайт Вам сменят его.
Со-администраторы и модераторы.
Со-администраторы и модераторы это люди в которых вы уверены. Если выдать полномочия человеку с плохими намерениями можно получить массу проблем. Даже если вы уверены в человеке это не значит что ему можно не придерживаться требованиям безопасности. Его пароль могут получить злоумышленники и навредить Вашему проекту.
Параметры безопасности
Продолжим погружения в тонкости настроек параметров безопасности панели управления.
Движок uCoz`а позволяет нам тонко настроить:
- Максимальное количество одновременных входов в панель управления
- Тайм-аут сессии
- Уровень фиксации IP-адреса
- Вход в панель только с указанных IP-адресов и подсетей
Заходим в панель управления, верхнее меню вкладка безопасность, пункт параметры безопасности.
(домен Вашего сайта/panel/?a=security). Рассмотрим каждый из пунктов подробно.
Максимальное количество одновременных входов в панель управления
Здесь все сугубо зависит от того сколько человек и как часто администратируют Ваш проект. Останавливаться не будем.
Тайм-аут сессии
Предельно допустимое время отсутствия активности в панеле управления. Работали над сайтом, отлучились через час Вас панель попросит Вам снова ,идентифицироваться, ввести пароль.
Уровень фиксации IP-адреса
По латинскому алфавиту A,B,C,D(отсутствует).
А самый строгий, точный метод фиксации IP, подойдет тем у кого выделенный IP-адрес.
B Средний вариант фиксации.
С более мягкий, метод фиксирования, лично я пользуюсь им, подойдет тем у кого динамичный IP-адрес.
D метод "без привязки", не рекомендованный. Если у Вас часто в панели управления появляется ошибка о изменившемся IP-адресе, метод для Вас.
Вход в панель только с указанных IP-адресов и подсетей
Крайне не рекомендованная функция. Используется только в редких случаях. Если у Вас не меняющийся, выделенный IP-адрес и есть желание полностью обезопасить свой проект, функция для Вас.
Учтите, что может случиться так что вы не сможете попасть в панель управления.
Если такое произошло
Вам необходимо написать в службу технической поддержки uCoz через другой сайт, либо через обратную связь
(http://www.ucoz.ru/contact)
Шаблон заполнения сообщения
Quote
Здравствуйте! Я поставил блокировку по IP на вход в панель управления сайтом, через некоторое время IP сменился. Необходимо снять блокировку.
1. Адрес моего сайта: (домен Вашего сайта)
2. Ответ на секретный вопрос: (ответ на секретный вопрос)
3. IP-адрес(а), с которого(ых) было разрешено входить в панель управления: (IP-адрес(а))
4. Мой текущий IP-адрес: (IP-адрес)
5. Причина : (укажите причину почему больше не можете заходить по IP-адресу, к которому поставили привязку)
Логи действий
У нас имеются два вида a.log и security log.
Лог — это журнал событий, протокол.
a.log это протокол действий всех пользователей. Пример из-за большой ширины разделен на два картинки.
Указывается дата и время, действие в нашем случае, /forum; editing message (/форум; редактирование сообщения),пользователь и его группа,IP-адрес с которого совершено действие,комментарий Thread ID: 1992; Entry ID: 19570 (Идентификатор топика 1992; Идентификатор сообщения 19570).
security log это журнал попыток входа в панель управления.Пример из-за большой ширины разделен на два картинки.
Дата и время, действие /panel; Login to control panel (/панель управления; Вход в контрольную панель), пользователь (стандартный домен вашего сайта), IP-адрес и комментарий.
Соединим эти части так как они не отчаются по большому счету ничем.
Замена пароля (FTP)
Замена пароля (PHP FTP)
Пароль не должен отражать информацию о Вас и Ваших окружающих. Должны быть случайные символы. Идеальный пароль для FTP и PHP FTP, на мой взгляд, должен выгладить так sg-WceBsyWy_7XG
Пароль может быть от 6 до 15 символов, разрешены не все, а только латинские буквы от a до z и в в верхнем регистре от A до Z, также цифры от 0 до 9 и два символа подчеркивание _ и тире - .
Полезные ссылки
http://pasw.ru/ - генератор паролей
http://www.unet.com/ - uNet
Подводя итог инструкции хочу отметить самые важные микро-выводы.
Внимательность, логика, надежный пароль, пословица "доверяй, но проверяй".
|
|
