Вне всякого сомнения, безопасность сайта начинается с пароля. Это самый простой, банальный, доступный, но от этого не менее действенный способ защитить себя и свой ресурс от действий злоумышленников и сетевых вандалов. Являясь владельцем сайта, не допускайте халатного отношения к подбору пароля, этим вы распахнете двери непрошеным гостям и сильно усложните себе продвижение сайтов. Ни для кого давно не секрет, что пароль, состоящий из одного слова, не является криптоустойчивым – его легко подобрать с помощью специального программного обеспечения, или даже угадать, исходя из логики и предпочтений хозяина. Ни в коем случае не используйте в качестве пароля к админ-панели или базе данных дату своего рождения, имя и фамилию или любые другие подобные комбинации. Надежный пароль обычно состоит из букв и цифр, содержит не менее 6-8 символов (лучше — больше), предпочтительно включает символы в разном регистре. Многие советуют регулярно менять пароли во избежании неприятностей. И, конечно же, не стоит хранить пароли в текстовых файлах на компьютере, или в письмах электронного почтового ящика. Если используете для работы с сайтом ftp-соединение, обязательно закрывайте его после окончания работы. Не позволяйте браузерам, ftp-менеджерам и другому ПО применять функцию “запомнить пароль”.
Следующие элементарные средства защиты и лечения сайта – это своевременные бэкапы (резервные копии ресурса), хранить которые лучше на отдельном внешнем винчестере. Своевременно обновляйте свою CMS, так как с каждой новой версией разработчики “подлатывают” обнаруженные дыры, мешающие эффективно осуществлять продвижение сайтов по запросам. Аналогичные действия желательно проводить и с плагинами, скриптами, которые использует система управления содержимым (скачивать их можно только с официального сайта разработчика или очень авторитетного ресурса; нежелательно пользоваться устаревшими плагинами, которые не поддерживаются создателями. В любом случае, вреда от этого не будет. Также полезно время от времени появляться на официальном сайте вашей CMS и читать последние новости, которые ей посвящены. Обычно в таких сообществах активно обсуждаются проблемы безопасности и предлагаются готовые решения для улучшения собственной “обороноспособности”. Кроме того, на форумах можно узнать интересные способы продвижения сайта.
Чтобы не проводить после лечение сайтов от вирусов, запретите посетителям использовать протоколы javascript и data в ссылках, код в комментариях, составьте список допустимых HTML-тегов для форматирования текста. Если сайт дает возможность производить онлайн-платежи, то используйте платные SSL-сертификаты. Зарегистрированных пользователей веб-площадки нужно разделить на группы, ограничив их права в админ-панели. Кроме того, с помощью файла robots.txt следует запретить индексацию важных документов и директорий, вроде cgi-bin, tmр и других. Не помешает наблюдать и за неприкосновенностью собственного компьютера, иметь на вооружении лицензионный антивирус с актуальными базами, проверять файл DNS (можно найти по адресу, похожему на CWINDOWSsystem32driversetchosts). Он должен иметь лишь одну строчку записи (не считая комментариев, помеченных символом #), в ином случае стоит обратить на него более пристальное внимание. Избегайте никому неизвестных хостеров, или же предварительно изучите отзывы, которые предыдущие заказчики оставили той или иной компании.
Чтобы проверить свой сайт на наличие уязвимостей, можно воспользоваться готовым инструментарием, например, программами Nessus Vulnerability Scanner, Xspider, Retina CS Threat Management Console. Однако не нужно пугаться необходимости платить за безопасность и устанавливать никому неизвестное ПО, ведь оно может преследовать совершенно другие цели.
Что делать, если сайт подвергся атаке или заражению. Поменяйте пароли доступа и оповестите о проблеме своего хостера, обсудив последующие действия с техподдержкой. Воспользуйтесь бекапом и узнайте, какие файлы подверглись изменению, а также посмотрите в логи ошибок доступа к сайту. Если ресурс использует устаревшие версии cms или скриптов, непременно проведите обновление. Попробуйте поискать на форумах похожую проблему и изучить ее решение, или же подробно, без эмоций изложите свою, попросив помощи. Квалифицированную поддержку всегда можно получить у специализированных организаций, оказывающих услуги за предварительно оговоренную плату. И помните – основная ответственность за безопасность сайта полностью лежит на его владельце.