Блоги Мам 
Сегодня мы предлагаем вам пост из раздела Блоговодоство, актуальный для всех нас, блогеров. Ксения Короткова (@milady_sysadmin), оказывающая в инстаграм компьютерную помощь девушкам, поделилась своими идеями на тему безопасности сайтов в интернете.
Зачем мошенники взламывают сайты? Чаще всего это делается для того, чтобы превратить сайт в «бота», т.е. управляемый извне, послушный сайт, включить его в сеть таких же ботов и совершать массированные атаки на крупные серверы и сайты.
Поэтому совершенно неважно, какова тематика сайта, его популярность, частота появления новых записей. Попытки взлома будут. Увы, это неизбежно. Но только от вас зависит, будут ли эти попытки успешны или нет.
6 советов о том, как обезопасить свой сайт
Есть несколько общих рекомендаций, повышающих безопасность сайтов на любых платформах:
Придумайте уникальный логин
Около 90% атак происходит на стандартный логин сайтов admin. Поэтому для повышения безопасности сайта такого логина на нём быть вообще не должно. При этом очень желательно, чтобы логин администратора не совпадал с вашим именем и адресом электронной почты.
Используйте надёжный пароль
Хороший пароль состоит не менее чем из 8 символов (лучше 10 и больше), включает в себя строчные и заглавные буквы, а также цифры и знаки препинания.
Для создания надёжного пароля можно воспользоваться генератором паролей. Минус этого способа в сложности запоминания полученного результата. Надёжный пароль можно получить также следующими способами:
- Наберите длинное русское слово или словосочетание, переключив при этом раскладку клавиатуры на английский язык. Например, слово «Акклиматизация», набранное в английской раскладке, превратится в «Frrkbvfnbpfwbz». Если добавить в начале слова цифру, а в конце восклицательный знак, получим взломостойкий пароль «5Frrkbvfnbpfwbz!»
- Используйте акронимы, т.е. аббревиатуры, образованные из начальных букв, частей слов или словосочетаний. Из фразы «девять мышей вместе потянули – крышку с кадушки стянули» получается хороший пароль «9Mvp-ksks».
Храните пароль правильно
Ни в коем случае не позволяйте сайту или браузерам запоминать пароль. Не храните его в открытом виде вместе с логином.
- Если ваш сайт – это ваш ребёнок, если за него болит душа, или он напрямую связан с вашими доходами (например, это интернет-магазин), пароль от него можно записывать только в собственную память или бумажный блокнот. И блокнот лучше не выносить из дома, по крайней мере, не держать рядом с ноутбуком и телефоном.
- Если же сайт не входит в категорию «бесценных сокровищ», для хранения пароля можно воспользоваться специальной программой – мессенджером паролей, например, бесплатным KeePass, а также LastPass (12$ в год) и 1Password (50$ в год).
- Те же рекомендации относятся и к паролю на хостинг.
Установите на сайте капчу и ограничьте число попыток входа в аккаунт.
После 3-5 подряд неудачных попыток входа, сайт должен блокировать взломщика. Это не позволит использовать автоматические способы перебора паролей мошенниками (а именно такими способами пользуются чаще всего).
Хорошо зарекомендовала себя google captcha. Для платформы wordpress могу посоветовать плагин Limit Login Attempts, ограничивающий число попыток входа в систему.
Закачивание информации на сайт через защищенный протокол
Для закачивания информации на сайт используйте защищённый протокол ssh, а не ftp. Включить этот протокол можно на хостинге, а пользоваться им с помощью программы Putty или любой аналогичной. Если этот путь кажется слишком сложным, старайтесь добавлять информацию на сайт через панель управления хостинга.
Делайте резервные копии сайта.
Чаще всего хостинги предоставляют бесплатные возможности создания и хранения бэкапов. Этим способом не стоит пренебрегать, а если есть возможность настроить на хостинге резервное копирование по расписанию, то это избавит вас от лишней головной боли.
Сделанные бэкапы надо регулярно забирать с хостинга к себе на компьютер и в облачные сервисы, чтобы освободить место и не зависеть от работоспособности серверов хостера. Если хостер не предоставляет возможности бэкапа, пользуйтесь другими способами создания резервных копий, например, плагинами.
Более подробно о том, как делать резервные копии сайта, можно прочитать в следующей статье на Блоги Мам: Как сделать бэкап сайта, а потом грамотно им воспользоваться
Учитывайте, что обычно бэкапы базы данных и бэкапы файлов сайта хранятся в разных архивах, а на хостинге чаще всего задаются отдельными заданиями.
Оптимально делать копии сайта не реже раза в месяц.
Для каждой платформы существуют также свои способы защиты от взлома, но даже эти универсальные приёмы помогут существенно поднять уровень безопасности вашего сайта.
Сталкивались ли вы с попытками взлома сайтов? Какие меры безопасности принимаете на своих ресурсах?
Автор: Ксения Короткова
Источник иллюстрации: bitcookie
Прям пошла и подписалась на Ксению в Инстаграм сразу :)))
Когда я увидела аккаунт Ксении, то сделала точно так же, даже не читая :)))
Большое спасибо за доверие, Анна, приложу все усилия, чтобы его оправдать)
Хочу добавить к статье, что еще полезно проверить, не входит ли ваш пароль в список самых распространенных паролей (его можно найти просто поисковиком) — часто бывает, придумал пароль удобный для запоминания — а он уже всем известен, оказывается:)
У меня блог на Блоггере, и эта платформа в большой мере берет на себя все заботы по безопасности и взломоустойчивости блога. Поэтому можно сказать, что я живу в тепличных условиях — со всеми атаками гугл разбирается сам:) Лично я со взломом блогов или моих аккаунтов в других сервисах никогда не сталкивалась за все 6 лет активной жизни в интернете.
Но, конечно, я все рекомендации по паролям из статьи я соблюдаю — береженого бог бережет.
Tavika, при соблюдении рекомендаций выше Ваш пароль не должен попасть в список самых распространенных в любом случае. Но Вы правы, Вы совершенно правы, береженого бог бережет)))
О, это прямо про меня статья. Всё так и с админом, и с паролем, и с бекапом.
Это не только к блогу относиться, но и вообще ко всему.
Надо срочно исправляться. Зашла на блог, а я этого админа изменить не могу, не доступно. Хотела удалить его и нового завести, тоже не получается. Ну, что со мной, чайником зелёным поделать 🙂
Светлана, уточните пожалуйста платформу, на которой работает Ваш блог.
Ксения, на вордпресс.
Светлана, изменить «в лоб» не получится) . Можно воспользоваться комплексным плагином безопасности или завести нового пользователя с правами администратора, а админа удалить (будьте готовы, что в уже опубликованных постах собьется аватарка автора). Если хотите поддержки, напишите мне на почту solaris19@inbox.ru или в инстаграм
«Пошла» и тоже подписалась на Ксению 😀
Благодарю за пост!
И Вам спасибо за доверие, Екатерина!)
Полезная статья! Безопасность в интернете всегда актуально!
Большое спасибо за отзыв, Альберт!
Полезная информация, спасибо! Мне понравился способ составления паролей из аббревиатур — только его не применяла никогда. Копии блогов делаю от случая к случаю и сразу на компьютер, по другому не умею, да и не знала что есть ещё какие-то варианты. Неделю назад обнаружила, что у меня сняли все деньги со Озона. Заказ сделан из Татарстана, туда и отправилась посылка. Написала просьбу разобраться. Получила стандартную отписку, что мы не несем ответственности, это у вас взломали аккаунт, мол, меняйте чаще пароли.
Как я могла контролировать свой аккаунт в их сайте я не знаю. Но это неприятно, сумма около 1500 рублей — не критично.
С паролями у меня всегда проблемы по форумам и социальным сетям. Вот в Инстаграмме в прошлом году зарегистрировалась, заходила туда раз в месяц. Делать там умела только лайки, даже толком не понимала как правильно картинку вставить. И вот при такой «деятельности» получаю сообщение, что меня уличили в рассылке рекламы-спама и лишили права пользоваться своим аккаунтом. Поэтому в Инстаграмме меня нет.
Яна, стандартные отписки от техподдержки это, конечно, безобразие(. С инстаграм могу немного подсказать. Попробуйте завести новую страничку в инстаграм, привяжите ее к другой почте. И обязательно сделайте привязку страницы к Фейсбук.
Спасибо, Ксения!
Как , оказалось, интуитивно я так и составляю пароли)))
Статья сработала как триггер))) Пошла и сделала резервную копию.
Хорошие рекомендации. С паролем у меня всё хорошо, а вот с бэкапом беда. Вроде бы он есть (автоматический), но каждый раз, когда обновляется Вордпрес я трясусь, так как до ручного бэкапа у меня не доходят руки. А еще когда некоторые плагины пишут, что нужно сделать резервную копию, а потом начинать обновление.