Все больше и больше пользователей интернета делают себе сайты. Ведь иметь сайт это модно, это радует, а иногда и прибыльно. Но, чтобы создать свой сайт вначале его нужно «разработать», а затем уже начать его «продвигать» всемирной паутине.
Но существует еще один, пожалуй, наиважнейший пункт в создании сайта – это его безопасность. Ведь если вы делаете серьезный проект, то у него должна быть соответствующая защита. Речь не идет о том, чтобы обезопасить ваш компьютер, хотя это вам тоже не помешает, а о безопасности во всей всемирной паутине.
Зачем защищать сайт?
Все понимают, что на сайте, в котором хранятся важные данные, должна быть серьёзная защита. Вот для примера, вряд ли какой-нибудь крупный банк, будет хранить информацию о своих клиентах в незащищенном контенте. Если сайт не будет защищён, то злоумышленник может буквально за несколько минут захватить всю необходимую для него информацию. Именно так часто и происходит!!!
Более того, часто происходит так, что взламывают защищенные кодом сайты, и тем самым нарушают запрет на использование информации и доступ к ней, и даже специалисты не могут гарантировать сто процентную сохранность сайта. Поэтому нужно очень тщательно продумать о защиту своего сайта, так как это очень важный аспект.
Как взламывают сайты?
В этой статье мне хочется вам поведать, о возможности проникновения на ваш сайт, через самый любимый «хакерский» трюк – SQL-инъекции. В первую очередь давайте определимся, что все хорошие сайты сделаны с помощью базы данных, без нее никак не обойтись.
Работа с базами данных через ваш сайт происходит непосредственно через структурированный язык запросов SQL. SQL-инъекция – это специальная техника по внедрению определенного кода, который не нарушает сам запрос, и цель этой инъекции заключается в получении данных из вашей базы.
Внедрение этой инъекции, позволяет атакующему «хакеру» выполнить самопроизвольный запрос к вашей базе данных – например, он может скачать данные со всех таблиц, а также добавлять или удалять данные из них, также может покопаться по вашим локальным файлам и произвести команды на атакующем сервере.
В основном все SQL-инъекции применяются в формах ввода, таких как, регистрация или заказ товаров. Но не расслабляйтесь, также эти инъекции можно проделывать не только на видимых формах ввода. Очень часто взломщики используют URL сайта для проникновения через запрос SQL-инъекции.
Методы защиты сайта.
Теперь давайте поговорим о самих методах защиты сайта.
В первую очередь не доверяйте данным, которые пользователь вносит в форму вашего сайта. Все записи, которые вносит пользователь необходимо проверить на наличии в них вредного кода. Уменьшите или ограничьте длину ввода ваших полей. Сделайте их минимальными. Затем начинаем обрабатывать все данные, которые внес пользователь. Это все можно проделывать с помощью PHP, функция mysql_real_escape_string вполне подойдет для этого. Также следует ограничивать пользователей в правах. Чем у ваших пользователей будет меньше прав, тем меньше шансов у них будет взломать ваш сайт. Так, что займитесь этими элементарными приемами защиты, и взломщики к вам не проникнут.
История взлома моего сайта.
Спешу с вами поделиться, что этот блог уже был взломан. Какие-то турецкие хакеры разместили на сайте свою идеологическую пургу, вместо моих замечательных статей. Вот какие ошибки привели к сему печальному факту:
Этот блог я не делал сам, а заказывал. Все пароли (почты, домена, хостинга, админки) были любезно предоставлены в виде таблицы. Таблица спокойно «лежала» в папке на диске. А это категорически нельзя делать, все важные данные на компьютере нужно хранить в архиве с паролем. Самые важные в блокнотике, в сейфе. 🙂
В то время антивирус был у меня бесплатный немецкий зонтик – Avira Antivir. «Гавкая» на безобидные программы, он пропустил на компьютер сотню (!) троянцев! Знаете, почему вирус назван троян? Он подобно троянскому коню, незаметно проникает в компьютер и также незаметно отсылает своему хозяину информацию с вашего компьютера.
Впрочем, сайт мог быть взломан по другой причине, но антивирус однозначно подвёл. Идём дальше. Я допустил ещё одну ошибку – пароли были одинаковыми! А это категорически нельзя делать. Но, выяснилось, что был изменён только пароль в админку вордпресса. После письма в техподдержку хостинга, первоначальный вид сайта был восстановлен.
Но авторизироваться как админ я всё же не мог. В той же техподдержке мне дали ссылку на статью о восстановлении утерянного пароля. Потратив целый день, я всё же восстановил доступ к сайту через базу данных. Я потерял кучу нервов и обрёл бесценный опыт. Но лучше учиться на своих ошибках.
Как защитить сайт и компьютер.
Что нужно сделать, чтобы не ставить по угрозу безопасность сайта:
1) Прежде всего, обезопасить свой компьютер. Это, кстати спасёт вас и от других проблем. Обязательно хороший лицензионный антивирус. Например, Касперского. Одного антивируса будет мало, нужен контроль всех входящий и исходящих запросов интернета, проще сетевой экран, он же брандмауэр или файервол.
Впрочем, современные антивирусы содержат полный пакет по защите компьютера от любых нежелательных атак. Не стоит забывать, что вы собираетесь работать в агрессивной среде интернета – сёрфинг, автосёрфинг, рекламные рассылки – всё это потенциально опасные объекты.
Поэтому свой интернет-браузер следует запускать через специальную программу, именуемую сандбокс или песочница. Если вирус всё же прошмыгнёт сквозь защиту антивируса, он попадёт в песочницу и будет играться в её виртуальном пространстве, не угрожая вашей системе. Не стоит забывать, что все загруженные через песочницу даже полезные файлы попадают на её виртуальные диски.
2) Ну вот, компьютер в безопасности, подумаем о сайте. Как говорилось выше, следует иметь базу данных, с отличным от админ-панели паролем. С помощью неё вы всегда сможете восстановить доступ к сайту. Если вы не сильны в программировании и не знаете что такое php, следует обратиться к помощи специалиста, который протестирует ваш сайт на наличие ошибок и так называемых дырок. Если нет желания тратится на специалиста, то придётся изучать этот вопрос самостоятельно. Благо, поисковики у нас бесплатны.
3) Если у вас блог на вордпресс, следует установить защитные плагины.
Удачи вам и вашему сайту!