Защита сайта от взлома

Защита сайта от взлома
Защита сайта от взлома

От взлома сайта никто не застрахован, но всегда можно уменьшить риски, позаботившись о защите сайта. Для начала рассмотрим, каким образом злоумышленники могут добраться до файлов сайта.

Уязвимости домашнего компьютера

Как бы это не казалось странным, но причиной взлома сайта может оказаться домашний компьютер, даже если на него установлен платный антивирус. Антивирус не дает стопроцентной гарантии от заражения компьютера вирусами, так как очень часто, пользователи устанавливают "левые" программы, несмотря на предупреждения антивирусных программам о возможности заражения. Риск увеличивается, если доступ к компьютеру есть у детей, которые часто устанавливают "полезные" приложения, которые на поверку оказываются троянскими программами.

Если на компьютере завелись троянцы, то есть большая доля вероятности того, что злоумышленники могут получить пароли от FTP доступа к хостингу, со всеми вытекающими негативными последствиями. Риск возрастает в том случае, если используются программы типа Total Commander или File Zilla, а пароли доступа сохранены в файлах этих приложений.

Рекомендации:

  • Используйте платные версии антивирусных программ;
  • Хотя бы раз в неделю проводите полную проверку компьютера на наличие вирусов;
  • Не доверяйтесь одному антивирусу. К примеру, если установлен антивирус Касперского, периодически проводите полную проверку компьютера при помощи лечащей утилиты Dr. Web CureIt;
  • Не загружайте и не устанавливайте подозрительное программное обеспечение;
  • Если доступ к компьютеру есть у детей, создайте для них отдельную учетную запись с обычным доступом (т.е. не в коем случаем не с правами администратора);
  • Не храните пароли в FTP -клиентах типа File Zilla.

Перебор паролей

Взлом сайта в лоб - это перебор паролей. К примеру, в том случае, если сайт работает на таких популярных движках как WordPress или Joomla, часто начинающие вебмастера, при установке CMS оставляют имя пользователя по умолчанию "admin" или "administrator". В результате остается подобрать только пароль, который бывает весьма не замысловатый и может состоять из одних цифр. Даже если цифр будет 10, перебрать все возможные варианты программным способом, будет очень легко и на это не понадобится много времени.

Рекомендации:

  • При установке CMS, например WordPress, измените логин администратора по умолчанию "admin" на любой другой - в этом случае подбирать придется не только пароль, но и логин. Если при установке CMS вы использовали логин по умолчанию, следует его изменить. О том, как изменить логин  WordPress, читайте в статье Как изменить логин администратора WordPress.
  • Не используйте слишком простые пароли типа 12345 - подобрать такой пароль не составит большого труда;
  • Не используйте один и тот же пароль для разных сайтов;
  • Периодически, хотя бы раз в 1-2 месяца, меняйте пароли.

Защита админ-панели сайта от взлома

Поскольку всегда есть риск, что в результате перебора паролей от админ-панели злоумышленники получат к консоли CMS, имеет смысл подстраховаться. Возможны два простых, но эффективных способа защиты админ-панели сайта от взлома:

  1. При помощи файла .htaccess;
  2. При помощи плагинов для CMS.

Защита админ-панели при помощи файла .htaccess

Данный способ защиты весьма эффективен, так как позволят получить доступ к панели управления сайта только с указанных IP-адресов. Идеально подходит в том случае, если вы заходится на сайт только с одного компьютера и у вас статический IP-адрес (никогда не изменяется).

Узнать свой адрес можно пройдя по ссылке http://internet.yandex.ru.

Определение IP-адреса
Определение IP-адреса

Если IP-адрес динамический (меняется при перезагрузке модема), то необходимо знать диапазон изменения IP-адресов.

Вариант 1. IP-адрес статический.

Предположим, что у вас статический IP-адрес 94.233.122.134, сайт (блог) работает на движке WordPress. Для ограничения доступа к панели администратора, необходимо в директории /wp-admin/ разместить файл .htaccess следующего содержания:

order deny, allow
deny from all
allow from 94.233.122.134

Вариант 2. IP-адрес динамический.

Предположим, что вы выписали все возможные IP-адреса и получился такой список:

  • 5.139.2.151
  • 5.139.23.192
  • 5.139.15.91
  • 5.139.34.223
  • 94.233.25.27
  • 94.233.122.134
  • 178.35.172.179
  • 178.35.143.9
  • 178.35.140.101

Это реальный пример, из которого видно, что IP-адрес изменяется в широких приделах. В подобном случае, содержимое файла .htaccess может выглядеть следующим образом:

Order deny,allow
Deny from all
Allow from 5.139
Allow from 94.233
Allow from 178.35

В данном примере, указывается общая часть диапазона IP-адресов.

Защита админ-панели при помощи плагинов

Вполне приемлем способ защиты административной панели при помощи плагинов. К примеру, для WordPress можно использовать плагин Limit Login Attempts - который позволяет ограничивать количество попыток ввода неверного пароля.

По умолчанию, плагин Limit Login Attempts настроен таким образом, что если четыре раза неправильно ввести пароль, то возможность ввода пароля с этого IP блокируется на 20 минут. После четырех серий из четырех неправильных попытках, возможность ввести пароль блокируется на 24 часа.

Плагин сохраняет лог (статистику) изоляций, в которой указано, с каких IP была произведена попытка получения доступа к консоли, а также указано, какой вводился логин.

Лог излоляций. Попытка взлома WordPress
Лог изоляций

Обратите внимание, как правило используются логины "admin" и "administrator" - расчет на начинающих сайтостроителей, оставивших логин по умолчанию.

На указанный в настройках e-mail, в случае фиксирования изоляций, будет приходить сообщение, что позволит оперативно узнать о попытках взлома сайта. Особенно внимательным нужно быть, если количество изоляций слишком большое. На скриншоте ниже видно, что на почтовый ящик поступило большое количество сообщений с пометкой "Превышен максимальный лимит попыток авторизации" за короткий период времени.

Сообщения о превышении максимально количества попыток авторизации
Сообщения о превышении максимально количества попыток авторизации

В подобных случаях, есть смысл увеличить время изоляций при неправильном вводе пароля.

Если у вас есть вопросы касающиеся темы статьи, задавайте их в комментариях.

2 Comments

  1. Евгений, с плагином получается как на пороховой бочке сидеть, - постоянная информация о попытках взлома разве не раздражает?

    Рассчитывай на хорошее, тем более у тебя уже есть опыт.

    • На мой взгляд, лучше заранее знать об участившихся попытках взлома сайта, чем быть в неведении. Предупрежден - значит вооружен!

Оставить комментарий

Ваш электронный адрес не будет опубликован.


*