На днях на Official Google Webmaster Central Blog были опубликованы рекомендации по безопасности сайтов от Google (Nathan Johns). Ниже приводится свободный перевод этих рекомендаций
********
В последние месяцы значительно выросло число сайтов подвергшихся взлому/атаке. Основная задача взломщиков внедрить в сайт какое либо вредоносное программное обеспечение (эксплойт) и/или внедрение поискового спама с целью изменения выдачи поисковых систем. Вне зависимости от причин и целей взлома нижеприведенные советы пригодятся всем. Этот список безопасности не претендует на полноту, и конечно же может быть дополнен самостоятельно.
- Проверьте конфигурацию/настройки своего сервера. Если используется вебсервер Apache, то советы по обеспечению его безопасности можно прочитать здесь, в случае использования серверов от Microsoft рекомендации по безопасности можно найти в tech center resources for IIS
- Следите за появлением всевозможных патчей и исправлений и своевременно обновляйте свои программы/скрипты/модули. Наиболее часто встречающийся источник опасности возникает, когда вебмастер установил на сервер скрипт какого либо блога или форума (или еще чего нибудь) и потом забыл о его существовании.
- Постояно следите за вашими log files (логами) на сервере. Ежедневная проверка логов должна стать привычкой!
- Проверьте сайт на общие уязвимости. Не устанавливайте на сайт каталоги с открытыми разрешениями на добавление. Обязательно проверьте сайт на возможность межсайтового кросспостинга и SQL injection. Используйте длинные сложные пароли.
- Осторожно относитесь к скриптам сторонних поставщиков. Если вы планируете установить какой либо скрипт, счетчик, код рекламной сети и другие , постарайтесь убедиться в безупречной репутации поставщика кода. Убедитесь что данной службой успешно пользуются другие сайты
- Проверьте как проиндексирован сайт. Убедиться в том, что все нормально можно просмотрев список проиндексированных гуглом страниц. Это можно сделать используя команду site:our_domain_name
- Используйте Webmaster Tools. Использование данного сервиса позволит увидеть статус сайта, а также как бот (поисковый бот- паук) сканирует сайт. Кроме того, если бот обнаружит наличие всяких вредных программ/скриптов вы сможете увидеть адреса "вредных" страниц (они будут исключены из индекса). После устранения "заразы" в том же сервисе можно написать запрос на повторное включение страниц в индекс
- Используйте безопасные протоколы. Используйте SSH и SFTP протоколы для передачи данных между локальным компьютером и сервером. Использование этих защищенных протоколов более безопасно, чем обычный telnet и FTP. Большое количество полезных советов по безопасности и использованию этих протоколов можно найти здесь
- Читайте Google Online Security Blog. Здесь можно найти огромное количество постоянно добавляемых советов по безопасности.
- Контактируйте с техподдержкой хостинговой компании. Если у вас возникают какие то сомнения и подозрения в нарушении безопасности обязательно обращайтесь в техподдержку
Вот такие советы дает гугл.. В принципе все советы правильные, и их применение может принести только пользу
No comments:
Post a Comment