Несколько советов по безопасности сайтов от Google

На днях на Official Google Webmaster Central Blog были опубликованы рекомендации по безопасности сайтов от Google (Nathan Johns). Ниже приводится свободный перевод этих рекомендаций

********

В последние месяцы значительно выросло число сайтов подвергшихся взлому/атаке. Основная задача взломщиков внедрить в сайт какое либо вредоносное программное обеспечение (эксплойт) и/или внедрение поискового спама с целью изменения выдачи поисковых систем. Вне зависимости от причин и целей взлома нижеприведенные советы пригодятся всем. Этот список безопасности не претендует на полноту, и конечно же может быть дополнен самостоятельно.

1. Проверьте конфигурацию/настройки своего сервера. Если используется вебсервер Apache, то советы по обеспечению его безопасности можно прочитать здесь, в случае использования серверов от Microsoft рекомендации по безопасности можно найти в tech center resources for IIS
2. Следите за появлением всевозможных патчей и исправлений и своевременно обновляйте свои программы/скрипты/модули. Наиболее часто встречающийся источник опасности возникает, когда вебмастер установил на сервер скрипт какого либо блога или форума (или еще чего нибудь) и потом забыл о его существовании.
3. Постояно следите за вашими log files (логами) на сервере. Ежедневная проверка логов должна стать привычкой!
4. Проверьте сайт на общие уязвимости. Не устанавливайте на сайт каталоги с открытыми разрешениями на добавление. Обязательно проверьте сайт на возможность межсайтового кросспостинга и SQL injection. Используйте длинные сложные пароли.
5. Осторожно относитесь к скриптам сторонних поставщиков. Если вы планируете установить какой либо скрипт, счетчик, код рекламной сети и другие , постарайтесь убедиться в безупречной репутации поставщика кода. Убедитесь что данной службой успешно пользуются другие сайты
6. Проверьте как проиндексирован сайт. Убедиться в том, что все нормально можно просмотрев список проиндексированных гуглом страниц. Это можно сделать используя команду site:our_domain_name
7. Используйте Webmaster Tools. Использование данного сервиса позволит увидеть статус сайта, а также как бот (поисковый бот- паук) сканирует сайт. Кроме того, если бот обнаружит наличие всяких вредных программ/скриптов вы сможете увидеть адреса "вредных" страниц (они будут исключены из индекса). После устранения "заразы" в том же сервисе можно написать запрос на повторное включение страниц в индекс
8. Используйте безопасные протоколы. Используйте SSH и SFTP протоколы для передачи данных между локальным компьютером и сервером. Использование этих защищенных протоколов более безопасно, чем обычный telnet и FTP. Большое количество полезных советов по безопасности и использованию этих протоколов можно найти здесь
9. Читайте Google Online Security Blog. Здесь можно найти огромное количество постоянно добавляемых советов по безопасности.
10. Контактируйте с техподдержкой хостинговой компании. Если у вас возникают какие то сомнения и подозрения в нарушении безопасности обязательно обращайтесь в техподдержку

Вот такие советы дает гугл.. В принципе все советы правильные, и их применение может принести только пользу