Способы усилить безопасность вашего хостинга

Всем привет! Сегодня мы поговорим о том, что необходимо сделать, чтобы повысить безопасность хостинга, на котором расположен Ваш сайт.

Способы усилить безопасность вашего хостинга

После создания сайта стоит позаботиться о его безопасности. Многие думают, что малоизвестный сайт не интересен хакерам, и не заморачиваются о его безопасности, но это не так.

Есть два основных вида хакерских атак:

  • Целенаправленные;
  • Общие.

В первом случае злоумышленник «берёт в оборот» конкретную площадку, исследует на предмет уязвимостей и атакует. Здесь в зоне риска сайты, которые чего-то уже добились и имеют ценность.


Во втором случае работают боты, в которых зашиты уже известные уязвимости хостингов, движков сайтов, плагинов и т.д. Бот проверяет все сайты без разбору на наличие одной или нескольких «дыр безопасности» и высылает хакеру отчёт. В этом случае в зоне риска все сайты, хакер найдёт применение любому проекту)).

В этой статье будут даны важные рекомендации по безопасности, но риск быть взломанным остаётся, даже если Вы всё сделаете правильно. По статистике, около 40% взломов происходит из-за дырявого хостинга. Поэтому стоит отнестись с особой серьёзностью к выбору надёжного хостинг-провайдера, подробнее о нескольких из них можно узнать на этом сайте. Невозможно улучшить уровень безопасности хостинга, например заклеив дырки со своей стороны. Особенно это становится важным при использовании Shared-хостинга, когда все работы по обслуживанию сервера приходятся на хостинг-провайдера.

Итак, давайте рассмотрим рекомендации, которые направлены на усиление безопасности хостинга.

Ограничьте возможность входа в админку

Одним из самых действенных способов защиты сайта от взлома является установка ограничения на вход в административную панель по IP-адресу. Это касается сайтов, у которых есть админка, коих сегодня большинство. Не имеет значение размер сайта и название движка. Для большинства случаев нужно в папке админ-панели создать файл «.htaccess». Если файл уже есть, то оставляем старый.

В начало файла добавляются строчки:

 
   order deny,allow
   allow from «IP_адрес»
   deny from all

Следом добавляется секция:

   
   
     order allow,deny
     deny from all
   

Вместо «IP_адрес» нужно подставить IP Вашего компьютера. Узнать свой IP-адрес вы можете на одном из специализированных сервисах, которых в интернете очень много. Первые три строчки запрещают доступ к папке, а соответственно и вход в админку, с любого компьютера, кроме вашего. Секция отвечает за безопасность самого файла «.htaccess», полностью запрещая доступ к нему из интернета. Возможность редактировать файл из панели управления хостингом и по FTP – останется.

У этого метода есть недостаток: Ваш IP-адрес должен быть статическим. Иначе, если Вы захотите войти в панель сайта с другого адреса, то ничего не выйдет, либо придётся редактировать файл «.htaccess», добавляя новый айпишник. К слову, строчек allow from «IP_адрес» может быть сколько угодно.

Первый вариант: если у Вас меняются только последние цифры IP-адреса, то запишите его так:

   
   allow from 111.111.111.


Т.е., если не написать после точки последние цифры, то будут приниматься любые, как если бы на конце стояло «*».

Второй вариант подходит, если у Вас есть VPN со статическим IP. Тогда добавьте и его в белый список, так Вы сможете заходить в админку из разных локаций, подключившись через VPN-канал.

Для обеспечения безопасности панели хостинга тоже можно установить ограничения на IP-адрес, но стоит быть особенно осторожным, т.к. если ваш IP сменится, то Вы никак не сможете попасть на хостинг и добавить новый IP в белый список. Придётся писать в техподдержку и ждать.

Бэкапы сайта и базы данных

Какой бы надёжная Ваша защита ни была, всегда есть вероятность взлома, и единственный способ обезопасить данные – это ежедневное резервное копирование файлов и базы данных. Это можно делать собственными силами, например, с помощью скриптов или плагинов, но лучше положиться на систему резервного копирования хостинга. Это важная характеристика, определяющая надёжность компании. На хорошем хостинге каждую ночь делается бэкап.

Есть некоторые нюансы, на которые важно обратить внимание:

  • Резервная копия должна находится НА ДРУГОМ сервере, а не там же, где и сайт. В обратном случае, при взломе сайта, могут быть повреждены все бекапы;
  • Размер резервных копий не отнимается от выделенного дискового пространства по тарифу;
  • Удобная работа с резервными копиями.

Под последним пунктом имеется ввиду возможность быстрого восстановления всех данных или отдельных частей, а также возможность скачать файлы из бекапа. Проблемы могут возникнуть, когда понадобится восстановить какой-то один файл, а можно будет только всё сразу. Или придётся скачивать весь бекап, который может занимать несколько гигабайт, и распаковывать всё ради одного файла. Очень важный совет: периодически, хотя бы раз в месяц, скачивайте полный бекап на компьютер или в облако.

Обновляйте движок и компоненты сайта

Системы управления контентом (CMS) очень популярны благодаря удобству, но за это приходится платить безопасностью. Чем больше людей пользуется одним движком или плагином, тем он более подвержен хакерским атакам. Каждый месяц выходят обновления безопасности, поэтому CMS и плагины нужно обновлять. Все про это слышали, но не все спешат делать, а всё потому, что боятся изменений в поведении сайта, или ухудшения SEO-показателей.

Такие страхи небезпочвенны, т.к. на примере CMS WordPress не раз были случаи, когда после апдейта появлялись новые «фичи», существенно повлиявшие на поисковую оптимизацию или скорость загрузки сайта. То же касается и плагинов, которые могут даже сломать сайт. Для решения этой проблемы предлагается сделать следующее:

  1. Выключить автоматические обновления;
  2. Сохранить исходный код нескольких важных страниц, например: главная, категория, пост или карточка товара, страница;
  3. Обновить CMS и плагины и снова сохранить исходный код этих же URL;
  4. Сравнить с помощью инструмента сравнения файлов Total Commander старый и новый код страниц.

Total Commander сравнивает построчно файлы и показывает изменения. Если расхождений нет, то обновления никак не повлияют на работу сайта. Обычно, есть мелкие изменения в исходном коде, не влияющие на скорость загрузки или SEO. Но дыры в безопасности при этом всё равно будут устранены, исходный код на это не влияет.

Логины и пароли

Устанавливайте надёжные пароли на вход в админку, панель управления сайтом, панель баз данных и на FTP-аккаунт. Пароль должен:

  • Содержать не менее 8 символов;
  • Включать в себя прописные и строчные символы;
  • Включать хотя бы одну цифру и специальный символ (точку, тире).

Для пользователей систем управления сайтом, например, WordPress или Joomla, также рекомендуется сменить стандартное имя пользователя «admin» на другое. Сами CMS не предоставляют такой возможности, но решение можно подсмотреть в интернете.

Другие рекомендации

Выполнив вышеперечисленные рекомендации – Вы уже будете в большей безопасности, чем большинство сайтов, но есть ещё несколько рекомендованных действий:

  • Измените страницу входа в админку на другой URL. Это можно сделать по специальным инструкциям;
  • Ограничьте количество попыток ввода пароля с баном IP-адреса. Современные CMS последних версий делают это самостоятельно или существует такой плагин, При использовании VPS серверов на основе Linux, используйте утилиту Fail2Ban для надёжной защиты от перебора паролей;
  • Используйте плагины для поиска проблем безопасности и их устранения.

На сегодня это все, удачи Вам, пока!

Источник Заметки IT специалиста

Поделиться ссылкой:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.