Мама-чайник против табуна троянских коней
Как вы знаете, несколько дней назад сообщество «Блоги Мам« подверглось взлому. Было предпринято несколько попыток вывести сайт из строя. Мы не знаем, кто именно стоял за попыткой взлома — живой злоумышленник или робот, действующий на автомате, но это не важно и не интересно. Главное — мы получили полезный опыт и кое-чему научились. В этой статье мы подытожим наш опыт борьбы с хакерами и расскажем о тех мерах, которые, на наш взгляд, необходимо принимать для того, чтобы защитить свой сайт или блог от враждебных элементов 🙂
1. Явки и пароли
Весьма важный пункт, относящийся не только к вашим блогам, но к любым интернет-сайтам, на которых вы регистрируетесь.
- Выбирайте пароли и(!) логины посложнее, пусть в них будут маленькие и большие буквы, всяческие символы и знаки препинания. Если на это не хватает времени и фантазии, можно воспользоваться онлайн генератором паролей.
- Не пользуйтесь одними и теми же паролями на разных сайтах.
- Не сохраняйте пароли в браузере.
- При входе в административную часть блога, желательно каждый раз заново вводить ваши данные, а не доверять это системе. По окончании работы, нажимайте на кнопку «Выход» (Logout).
Как и где хранить пароли? Безопаснее всего — в обычной тетрадке 😉 Если вы все-таки храните пароли на компьютере, шифруйте соответствующие файлы. Можно воспользоваться также специальным менеджером паролей.
2. Это важное слово Backup
Обязательно сохраняйте последнюю резервную копию вашего блога у себя на компьютере, а лучше даже на внешнем накопителе (флешке или внешнем жестком диске). Потому что в один прекрасный день вы можете потерять все. (Это относится вообще ко всему, что вы делаете на компьютере – всегда имейте копию на другом физическом носителе).
- В wordpress для этой цели есть плагин под названием WP-DB-Backup, который посылает копию базы данных вашего сайта на email. В настройках укажите, с какой периодичностью вы хотите получать копию базы данных — раз в неделю или ежедневно.
- В blogger в любой момент можно экспортировать копию блога на жесткий диск. Это делается так: Settings (Настройки) -> Basic (Основные) -> Export Blog (Экспортировать блог) — > Download blog (Загрузить блог).
Можно также сделать следующее: подпишитесь письмом на RSS своего блога и каждый раз, получая новый пост на mail, сохраняйте его в специальной архивной папке (в почтовой программе или на компьютере). Так, если возникнет необходимость, вы сможете быстро восстановить любой пост обычным «копипастом».
Как сделать полный бекап сайта? Подключитесь к серверу и скачайте всю папку, в которой хранится содержимое вашего сайта — сначала на компьютер, а потом — на внешний жесткий диск. Это позволит в любую минуту заменить поврежденный файл или папку, «хорошими» файлами из резервной версии.
3. Что такое FTP, и почему это плохо
Пользователи blogger могут со спокойным сердцем перейти к следующему пункту. Если же вы выбрали wordpress для работы над своим сайтом, и у вас есть домен и хостинг, то вы скорее всего уже знаете, что такое FTP, и зачем он вам нужен.
Но оказывается, этот протокол передачи файлов (именно так расшифровывается аббревиатура FTP) не вполне безопасен и часто используется для несанкционированного доступа, так как передает логин и пароль открытым текстом. Знающие люди советуют закрывать доступ к FTP и использовать вместо него протокол SSH, который шифрует все передающиеся данные, включая пароли.
4. Лучший друг вебмастера
Подружитесь с инструментами для вебмастера Яндекса и google. Добавьте туда свои сайты и время от времени проверяйте, что о них думают поисковые роботы. Вредоносные элементы на вашем сайте можно обнаружить в яндексе — с помощью раздела «Безопасность», а в гугле надо зайти в раздел Diagnostics -> Malware. (Кстати, использование инструментов для вебмастера благотворно скажется не только на безопасности ваших сайтов, но и на их позициях в результатах поиска, но это уже тема для отдельной статьи).
5. Полезные плагины
Этот пункт тоже актуален для пользователей wordpress — движка со множеством плюсом, но довольно уязвимому к атакам хакеров. Видимо поэтому существует множество плагинов, цель которых — усилить безопасность вашего сайта и защитить его от взлома. Например, Anti-XSS attack, Secure WordPress, AntiVirus и другие. Подробнее об этом вы сможете прочитать, перейдя по ссылкам, приведенным ниже.
Что еще почитать:
Советы по безопасности wordpress Михаила Шакина — часть 1, часть 2, часть 3.
Статья Сергея Сосновского «Как увеличить защиту блога«.
Безопасность WordPress Краткое руководство на сайте MaxSite.org.
И конечно же, не пренебрегайте помощью самих поисковиков:
Помощь Яндекса вебмастерам — раздел, посвященный безопасности
Советы по безопасности для веб-мастеров от google
Напоследок еще одна рекомендация, не связанная напрямую с безопасностью сайта, но очень актуальная для родителей маленьких детей:
Возможно, вам захочется выложить в своем блоге фотографии своих любимых малышей – детей и внуков. Будьте осторожны! Блог – это общедоступный ресурс. И к сожалению, находятся «умники», которые используют фотографии малышей, найденные в сети для мошеннического сбора денег (выдают их за «больных» и давят на жалость). Поэтому детские фотографии крупным планом лучше выложить на других сайтах – там, где доступ вы откроете только тому, кому захотите сами.
Пусть с вашими сайтами все будет хорошо, и вы, и ваши посетители всегда будете чувствовать себя в безопасности!
Авторы: Алла и Анна