Безпека вашого сайту залежить від трьох речей:
- безпеки програмної частини (CMS, скриптів);
- безпеки сервера (хостингу);
- обізнаності та акуратності адміністратора сайту або тих, хто працює з сайтом як адміністратор.
Якщо всі три складових безпеки сайту організовані правильним чином, то сайт буде неприступним для хакерів і вірусів.
Надійність програмної частини
Програмна частина – це система управління сайтом (CMS) або скрипти, на яких працює сайт. Надійність програмної частини увазі відсутність вразливостей («дірок»), що дозволяють зловмисникові отримати доступ до бази даних, файлової системи або панелі адміністратора сайту.
Щоб в програмній частині не було вразливостей, розробники повинні розробляти скрипти з оглядкою на безпеку, що виконується не завжди. Правда життя така, що практично в кожній CMS або в скрипті існують уразливості. Частина з них опублікована у відкритому доступі (публічні уразливості), інша не доступна широкій аудиторії і використовується зловмисниками для цільових атак на сайти. Для того щоб програмна частина сайту була надійна і неприступна, потрібно приділяти увагу проблемі безпеки.
Безпека сервера (хостингу)
Другим важливим моментом, що впливає на безпеку сайту в цілому, є хостинг, на якому розміщується сайт. Хостинг може бути shared («загальний») або dedicated («виділений»).
Для shared-хостингів відповідальність за безпечну налаштування сервера лежить на адміністраторі хостинг-компанії. Для dedicated-сервера (VDS/VPS/DDS) ця відповідальність лежить на власнику сервера.
Як у випадку shared-хостингу, так і у випадку dedicated-сервера конфігурація повинна забезпечувати мінімальну свободу дій, що не порушують працездатність сайту. Тобто на сервері повинні бути дозволені тільки найнеобхідніші функції, а все інше – заборонено. Наприклад, якщо сайт не виконує зовнішніх підключень до інших серверів, повинні бути відключені опції зовнішніх з’єднань. Якщо сайт не використовує системні виклики (system, shell_exec, та ін), ці функції необхідно відключити. Крім того, повинна бути обмежена область видимості файлової системи з скриптів і багато іншого. Про все це має подбати системний адміністратор сервера.
Поінформованості й акуратності адміністратора сайту
Власники сайту, зазвичай, приділяють мало уваги питанням безпеки, припускаючи, що програмна частина бездоганна, настройки сервера надійні і безпечні. Хоча власна безпечність найбільш часто є причиною злому сайтів і зараження вірусами.
Нижче наведено список операцій, який повинен постійно тримати в голові адміністратор (власник) сайту:
- Комп’ютер, з якого виконується робота з сайтом, повинен бути захищений комерційним антивірусним програмним забезпеченням і регулярно ним перевірятися. Якщо з сайтом працює кілька людей, дана вимога застосовується до кожного.
- Паролі від ftp / ssh / панелі адміністратора потрібно міняти регулярно, хоча б раз на місяць.
- Не зберігати паролі в програмах (ftp-клієнтах, браузері, електронною поштою).
- Ставити складні паролі виду «jrfr54 @ FSD».
- Працювати з безпечного протоколу SFTP або SCP.
Підсумок
Щоб сайт був захищений від вірусів і хакерів, потрібно досить багато уваги приділяти проблемі безпеки: підтримувати програмне забезпечення в актуальному стані, правильно налаштовувати хостинг і стежити за доступами до сайту. Якщо хоча б один з трьох елементів буде слабкою ланкою, сайт залишиться уразливим.
Команда GKS Веб-Студії при розробці сайтів приділяє багато уваги безпеки вашого майбутнього веб-ресурсу , знаючи, як це важливо для вас.
