Как защитить браузер от взлома

Содержание

Защита WordPress от взлома: 10 способов повысить безопасность своего сайта

Защита WordPress от взлома или вирусов всегда заключается в осторожности, постоянном обновлении своего программного обеспечения, игнорировании различных мошеннических сайтов и схем и т. д. В этой статье я постараюсь рассказать вам о том, как защитить свой ресурс, который работает под управлением WordPress.

В первой части материала я расскажу об общих правилах безопасности, в конце же мы разберем несколько плагинов, которые помогут повысить уровень защиты вашего проекта. Итак, давайте начинать!

10 советов по защите

Я решил оформить эту статью в виде своеобразного чек-листа, куда вы при необходимости сможете заглянуть. Здесь я объясню некоторые принципы повышения безопасности, которые заключаются в конкретных действиях.

Регулярно обновляйте свою операционную систему

Ваш сайт могут взломать из-за огромного количества вирусов на вашем ПК. Если вы используете Windows в качестве операционной системы, то простое обновление компонентов до актуальной версии поможет вам избежать многих проблем.

То же касается и других операционных систем. MacOS или даже GNU/Linux могут содержать уязвимости, о которых знает лишь ограниченное количество людей.

Если вы пользуетесь сайтом со своего смартфона, нужно поддерживать в актуальном состоянии и его.

Используйте антивирусное ПО

К сожалению, многие недооценивают важность антивирусного программного обеспечения. Они просто пускают все на самотек, к ним попадают различные вирусы, троянские программы и т. д. После этого все их данные сливаются в специальные базы.

А вот эти базы может купить или скачать любой желающий. Даже злоумышленник, который задумал напакостить или просто поразвлечься с вашим сайтом или электронными кошельками.

Именно поэтому я рекомендую вам установить себе на компьютер и мобильный телефон антивирусные программы. Даже хотя бы бесплатные. Так риск того, что кто-то вас взломает, существенно снизится.

Не посещайте левые сайты и не вводите там данные

Банальный совет, который многие упускают из виду. Люди просто лазают где хотят, вводят там пароли, которые подходят почти ко всем их аккаунтам. Потом эти пароли опять же попадают в сливные базы, а там их может достать кто угодно.

Не надо посещать подозрительные сайты и уж тем более там что-то вводить.

Установите сложный пароль на WordPress

Еще один довольно банальный совет, который может помочь вам защитить собственный сайт от злых хакеров или мошенников. Если вы в качестве пароля используете свою фамилию и год рождения, все это очень печально и плохо. Любой дурак даже с помощью простой догадки сможет выявить этот пароль и взломать ваш ресурс.

Можно воспользоваться генератором, который встроен в сам WP. Для этого перейдите в меню “Пользователи” – “Ваш профиль”. Далее прокрутите страницу вниз и нажмите на кнопку “Создать пароль” в пункте “Управление учетной записью”.

WordPress сгенерирует сложный пароль, который будет состоять из букв разного регистра, цифр и специальных символов. Не забудьте сохранить куда-нибудь этот пароль. Записать в свой блокнот или разместить в специальную защищенную программу-парольщик.

Установите другой логин

По умолчанию во многих версиях WordPress используется стандартный логин “Admin”. Хакеры знают это и им намного легче подбирать пароли через автоматические приложения-переборщики. Чтобы обломать их намерения, вы можете изменить стандартный логин на какой-то другой.

Для этого необходимо перейти в меню “Пользователи” – “Добавить нового”. В открывшихся полях необходимо заполнить все данные аккаунта, изменив только сам логин. Тут вы можете дать волю фантазии и ввести что-то неоднозначное, состоящее из большого количества символов и т. д.

Но не забывайте, что вам самим придется вводить этот логин при входе в панель управления. Поэтому сильно не увлекайтесь.

После этого вы должны удалить старый аккаунт администратора. Залогиньтесь через новый аккаунт, снова зайдите в меню “Пользователи”, наведите курсор на аккаунт с логином “Admin”, после чего кликните на надпись “Удалить”. Далее нужно подтвердить свои намерения. Все, теперь у вас будет аккаунт с новым логином, который будет сложнее узнать.

Регулярно обновляйте свою версию WordPress

Как и в случае с операционной системой, вы должны поддерживать свою платформу в актуальном состоянии. Каждое обновление может исправлять потенциальные известные уязвимости. Если вы не будете своевременно обновлять WordPress, то велика вероятность, что этими самыми уязвимостями кто-то воспользуется.

В этом случае вам не поможет ни сложный пароль, ни измененный логин. Злоумышленник просто сломает ваш сайт, и если вы не сделали резервные копии, то потратите много времени и нервов на восстановление.

Обновлять эту CMS можно через встроенные инструменты. Когда выходит новая версия, пользователей WordPress всегда уведомляют об этом, предлагая кликнуть на несколько кнопок и сразу же обновиться.

Перед обновлением не забудьте выполнить следующий пункт.

Делайте резервные копии

Если даже вас кто-то взломает и решит “поиздеваться” над вашим ресурсом, то при наличии свежей резервной копии вы сможете быстро все восстановить, сменить пароли от аккаунтов и т. д.

Бэкапы можно делать как при помощи встроенных в хостинг инструментов, так и с помощью различных плагинов. В статье про самые необходимые плагины для WordPress я рассматривал плагин для создания резервных копий.

Этот модуль носит название “UpdraftPlus WordPress Backup Plugin”, его можно установить прямо из каталога WordPress. Часть интерфейса этого плагина переведена на русский язык, поэтому проблем с использованием быть не должно.

Также вы можете поискать другие плагины для создания бэкапов. Их очень много в стандартном каталоге.

Устанавливайте шаблоны и плагины только из достоверных источников

Очень часто вирусы проникают на сайты через паленые версии плагинов и шаблонов. Люди, чтобы сэкономить, скачивают взломанные nulled-версии с разных второсортных форумов или складчин. После этого их чудесным образом взламывают или зашивают код, который вредит пользователям.

Чтобы избежать таких последствий, вы должны четко разделять надежные источники от ненадежных. Nulled-версия может быть надежной в исключительных случаях, в основном авторы таких сборок преследуют собственные интересы.

Поэтому плагины и различные шаблоны лучше скачивать из стандартного каталога WordPress либо же покупать их в известных магазинах вроде того же ThemeForest или WP Shop. Также вы можете скачивать все это с официального сайта WordPress – ru.wordpress.org, там есть все то, что и в каталогах.

Используйте зашифрованное соединение

Если вся информация на вашем сайте будет передаваться через защищенное HTTPS-соединение, то вы можете избежать многих рисков, проблем и последствий. Сайты без SSL сейчас даже поисковики не жалуют.

Они считают, что такие ресурсы могут быть опасны для простых пользователей. Именно поэтому браузеры и поисковые системы помечают сайты без защищенного соединения как подозрительные или небезопасные.

Отсутствие защищенного протокола может быть опасно не только для пользователей, но и для самого сайта, потому что есть очень много уязвимостей, которые работают исключительно через HTTP-протокол. Если на вашем сайте будет корректный SSL-сертификат, то все эти уязвимости просто не будут работать.

Более подробно о том, как установить SSL-сертификат на сайт я рассказывал в отдельной статье. Рекомендую перейти туда и ознакомиться с этим материалом.

Используйте плагины, которые повышают защиту

Самым радикальным и одновременно действенным способом будет установка специальных плагинов, которые дополнительно защитят вашу платформу от взлома, вирусов и различных атак хакеров.

Принцип работы этих плагинов заключается в изменении и добавлении стандартного функционала WP. Например, если ввести правильный логин и неправильный пароль, то WordPress выдаст ошибку, которая напрямую будет указывать на то, что здесь неправильный именно пароль, а логин верный. Таким способом злоумышленники могут узнать ваш логин, даже если вы его поменяли. Им останется просто подобрать верный пароль и все.

С помощью плагинов можно изменять подобные нюансы, например, в случае с формой входа будет изменено информационное уведомление. То есть не будет понятно, что конкретно было введено неправильно: логин, пароль или, вообще, все вместе.

Также многие плагины могут изменять стандартные названия файлов, папок и таблиц в базах данных. Тогда у взломщиков не остается шансов, они просто не будут знать, в какую сторону надо копать.

В общем, функций у таких плагинов достаточно. Я подготовил для вас небольшую подборку. В ней я расскажу о наиболее популярных расширениях.

  • Wordfence Security – Firewall & Malware Scan

Отличный плагин, который можно установить прямо из панели управления WordPress. Его же можно скачать с официальных репозиториев.

Это комплексное решение, которое позволяет полностью защитить вашу платформу от всевозможных угроз. Здесь есть инструменты, которые могут изменять стандартный функционал WordPress, делая его более безопасным. Это и изменение названий в файлах, папках, и дополнительная защита в виде улучшенной формы входа.

Также вы можете добавить двухфакторную авторизацию, и пользователь будет вынужден каждый раз вводить код, который будет приходить на мобильный телефон.

Помимо всего прочего, в этом плагине есть встроенный сканер. Используя его, вы сможете сканировать все файлы вашего сайта на наличие вредоносного кода. Однако если вы не устанавливаете плагины и темы из непроверенных источников, то этого вредоносного кода там и не будет.

У этого плагина есть две версии: бесплатная (ее вы устанавливаете из каталога либо же скачиваете с репозиториев WP) и платная (стоит 99 долларов).

Платная версия имеет дополнительные преимущества и расширенный функционал. Но для большей части вебмастеров хватит и базовой версии, там полно крутых инструментов, которые полностью защищают WordPress от всякого рода напастей.

  • iThemes Security

Еще один комплексный модуль для WP, который может обеспечить повышенный уровень безопасности. Здесь есть очень много функций, включая изменение логина администратора, смену префиксов в таблицах БД, изменение названий папок, сканер и т. д. Это прямой конкурент предыдущему плагину. В каких-то моментах он его превосходит, в каких-то наоборот.

  • All In One WP Security & Firewall

Неплохое расширение, которое имеет много различных функций. Здесь есть инструменты по защите аккаунтов, баз данных, файлов сайта и т. д. Этот плагин также можно установить прямо из каталога WordPress. Достаточно просто перейти в нужный раздел панели управления и ввести его название.

Неплохой особенностью этого модуля можно считать поддержку русского языка. В двух других тоже могут быть переведенные фрагменты, но этот плагин переведен полностью.

Заключение

Чтобы защитить свой проект на базе WordPress, придется серьезно подходить к делу и не допускать каких-то ошибок или просчетов. Важно понимать, что если вы хотите защитить сайт, то нужно в первую очередь позаботиться о безопасности своего рабочего компьютера или устройства, с которого вы работаете.

Также нельзя забывать и про хостинг. Если злоумышленник узнает данные от хостинга сайта, он сможет сделать с ним все, что захочет.

Именно поэтому к безопасности нужно подходить комплексно. В этом случае вы снижаете риск получения вирусов или взлома. Кстати говоря, вопрос безопасности рассматривается в курсе для вебмастеров от Василия Блинова. Также там говорится о методах борьбы с хакерами и взломщиками.

Если вам интересна тема заработка на информационных ресурсах, то я рекомендую перейти по ссылке выше и ознакомиться с курсом. В нем подробно рассказано о том, как создать собственный блог или сайт-статейник под монетизацию. Весь курс разделен на информационные блоки, а сами блоки на уроки. Ученики пошагово проходят уроки и выполняют домашние задания. Также они могут рассчитывать на помощь и консультацию от экспертов или других учеников.

А на этом все. Следите за безопасностью своего сайта и своевременно делайте резервное копирование.

Источник: http://iklife.ru/sozdanie-sajta/blog/zashchita-wordpress-ot-vzloma-i-virusov.html

12 простых способов, которые помогут защитить себя в интернете

  1. Главная
  2. Технологии

Всемирная сеть развлекает нас, учит, знакомит и помогает зарабатывать. Однако без знания правил цифровой-гигиены легко стать жертвой мошенников или простых вредителей. Рассказываем, как защитить себя в интернете и не упустить личные данные.

В чём опасность?

• Фрод (мошенничество). Когда юзер оплачивает покупки или услуги банковской картой на вредоносном сайте, создатели ресурса могут получить доступ к реквизитам пользователя.

• Взлом аккаунтов. Тот случай, когда злоумышленники получают логины и пароли от почты, онлайн-банкинга или социальной сети.

• Утечка данных. Сбор личной информации человека для передачи третьим лицам. В такой скандал попадал Facebook. Социальная сеть допустила массовую передачу данных 50 миллионов пользователей, которым потом показывалась политическая таргетированная реклама.

• Проникновение. Обеспечение удалённого доступа для мошенников на персональный компьютер через вредоносное ПО.

• Фишинг. Сайты-подделки под популярные сервисы: социальные сети, платёжные ресурсы, онлайн-банки. Рассылки, которые маскируются под рассылку от авторитетных сайтов (Google, Mail.ru, Facebook, VK). Они рассчитаны на невнимательность человека и пытаются заполучить доступ к конфиденциальным данным — логинам и паролям.

• Обман. Предложение в соцсетях, интернет-магазинах, досках объявлений, где продавец готов отдать товар за низкую цену. Оплата принимается онлайн или переводом на карту. После злоумышленник пропадает и не выходит на связь.

Что помогает защитить себя в интернете?

Чтобы защитить себя в интернете не нужно выстраивать оборону против каждого вида проникновения – достаточно соблюдать комплексные меры безопасности и использовать здравый смысл. Это сократит вероятность утечки персональной информации и не даст вредоносному программному обеспечению начать работу.

1. Антивирус

Это базовый софт, обеспечивающий безопасность. В задачи антивирусного ПО входит обнаружение шпионских программ, вирусов, фишинговых ресурсов, опасных серверов и подозрительного трафика. Популярные антивирусы справляются с большинством угроз, которые поступают на компьютер из сети или съёмных носителей. Правда, они не защищают от действий пользователя на сайтах. То есть, если ресурс не вызвал у программы подозрений и открылся, нажатия на ссылки или действия с элементами уже не будут защищены.

2. VPN

VPN — это защищённая сеть, которая скрывает IP адрес и месторасположение. Она надёжно зашифрует весь трафик и данные, передаваемые с устройства. Если вам необходимо обойти блокировку сайта, получить анонимность в сети или подключиться к Wi-Fi в публичном месте, используйте VPN.

Сама технология работает так:

1. Информация шифруется на устройстве.
2. Передаётся на сервер VPN-провайдера.
3. Дешифруется на сервере.
4. Передаётся по назначению (на сервер сайта).

Таким образом, личная информация защищена от перехвата, она полностью зашифрована, персональные данные скрыты. Блокировки сайтов, например, от Роскомнадзора перестают работать. Присутствие в сети выглядит так, словно вы вышли в интернет не из России, а из другой страны (где размещён VPN сервер).

Бесплатный VPN предлагают Windscribe и Privatix .

3. Временная анонимная почта

Временная почта – это ящик со случайным адресом и ограниченным сроком жизни. Он удобен, когда нужен доступ к сервису с регистрацией, а вы не планируете им долго пользоваться. Кроме того, сами «времянки» обычно не просят логиниться или указывать личную информацию. Просто заходишь на сайт и применяешь.

Сервисов временной почты много и найти удобный вариант не трудно. Обратить внимание стоит на эти:

Такая почта не защищает от последствий после перехода по подозрительным ссылкам и не предотвращает «слив» данных на фишинговом ресурсе. Но она помогает снизить до минимума поступающий спам, в котором часто скрываются подобные опасности.

4. Постоянное шифрование

Чтобы результатом действий на сайте не стала утечка личных данных или спам-атака на почту, пользуйтесь ресурсами, сетевой адрес которых начинается с HTTPS. Это значит, что соединение между вами и сервером шифруется – информацию не получится перехватить.

Современные браузеры напоминают о риске нешифрованного соединения. Если при проверке сертификата данные не совпадают, на экране появляется предупреждение. Правда, его можно проигнорировать, нажав «Я принимаю риск, всё равно перейти».

Чтобы повысить уровень защиты, зашифруйте столько интернет-трафика, сколько сможете, с помощью расширения HTTPS Everywhere. Оно автоматически заставляет сайты использовать HTTPS протокол вместо HTTP. Его можно бесплатно установить в браузеры Google Chrome, Mozilla Firefox и Opera, в том числе и на мобильных устройствах.

Информации в облачных хранилищах тоже не мешает добавить защиты. Установите программу для шифрования данных в облаке, например, Boxcryptor или nCrypted Cloud .

5. Сложные пароли

Сложность паролей напрямую определяет их надёжность, поэтому рекомендуется использовать длинные случайные комбинации символов. Во-первых, их почти невозможно взломать перебором. Во-вторых, они не имеют привязки к личности пользователя.

Пароль в виде имени супруга или ребёнка, даты рождения, клички собаки, названия любимой команды непосредственно связаны с вами. Это та информация, которую злоумышленники смогут подобрать, если получат доступ к социальной сети, почте или компьютеру.

Поэтому 17041991 – это плохой пароль. Masha17041991 или 1704masha1991 — тоже. А Vy0@$e6#Omx6 – сильный пароль. Его невозможно собрать исходя из данных о человеке, а найти перебором сложно технически.

Не используйте одинаковые пароли. В идеале для каждого случая должна быть своя комбинация. Применять для всех почтовых аккаунтов, соцсетей и банковских сервисов один и тот же код — опасно.

Всё запомнить будет трудно. Поэтому установите для хранения менеджер паролей:

6. Двухфакторная авторизация (аутентификация)

Чтобы защитить себя в интернете используйте двухфакторную аутентификацию. Это означает, что при попытке авторизоваться на сервисе будет необходимо указать два секретных параметра-доказательства. При стандартном входе такой параметр только один – пароль. В случае с двухфакторной авторизацией нужно будет ввести ещё один. Чаще всего это случайный сгенерированный код, который отправляется в SMS на телефон. Если злоумышленник завладел паролем, то он не сможет войти в аккаунт.

Далее  Проверься на анонимность в интернете

Сейчас двухфакторная аутентификация используется большинством крупных сервисов: Microsoft, Google, Facebook, Yandex, Dropbox, ВКонтакте, Instagram. Для подтверждения они применяют SMS, мобильные приложения, токены (редко), резервные ключи.

7. Осторожность с почтой

Будьте аккуратны с файлами, приложенными к письмам в электронной почте. Никогда не открывайте и не запускайте их, если источник неизвестен. В противном случае убедитесь, что он действительно прислал вам важный документ. Не забудьте также проверить файл антивирусом – вдруг отправитель распространяет угрозы, но не подозревает об этом сам.

8. Своевременное обновление ПО

Преступники совершенствуют свои инструменты, а разработчики со «светлой» стороны – укрепляют оборону. Оба соперника изучают методы друг друга и стараются своевременно реагировать на изменения. Новые варианты взлома и слежки попадают в сеть ежедневно, поэтому для снижения рисков до минимума надо регулярно обновлять программное обеспечение. К нему относится и антивирус, и операционная система, и браузер.

9. Безопасность среды

Угроза может проникнуть на компьютер не только напрямую из сети или файла, полученного на почту. Источником способна послужить локальная сеть на работе, заражённое устройство одного из членов семьи, уязвимая точка Wi-Fi в общественном месте.

Старайтесь проверять степень защищённости всех устройств и сетей, к которым подключаетесь. А в общественных местах лучшее вообще не использовать открытые сети для онлайн-оплаты или авторизации в веб-сервисах (если нет VPN).

10. Секретная поисковая система

Используйте DuckDuckGo . Это система, которая не собирает данные о своих посетителях, не хранит IP-адреса и cookies. Здесь нет рекламы, а поисковая выдача объективна (Google и Yandex создают персонализированную ленту результатов, в которую могут не попасть некоторые полезные ссылки). DuckDuckGo — поможет защитить себя в интернете и обеспечит приватность во время поиска информации в сети.

11. Секретный браузер

Tor – нашумевший браузер, который, вопреки обывательскому мнению, популярен не только у наркодилеров и террористов. Tor пропускает соединение с конечным сервером через нескольких посредников и, таким образом, прячет данные о пользователе и его устройстве. Никто не узнает, какой у вас IP адрес, какие сайты вы посещаете, и какие файлы передаёте. Программа препятствует работе всех элементов, которые потенциально могут применяться для получения информации о юзерах.

12. Телефон и планшет

Любое устройство, которое легко теряется, необходимо дополнительно защитить, то есть установить графический или цифровой код для разблокировки. Этого достаточно, чтобы предотвратить большинство опасностей. Только не выбирайте для блокировки даты или простейшие комбинации.

Для полного шифрования устройств воспользуйтесь встроенным функционалом системы. На Android загляните в «Настройки -> Безопасность», на iOS в «Настройки -> Пароль».

Источник: http://invlab.ru/texnologii/kak-zashhitit-sebya-v-internete/

Как защитить компьютер от хакеров

Любой компьютер, подключенный к Интернету, может потенциально стать жертвой хакеров и подвергнуться атаке с их стороны. Хакеры и злоумышленники постоянно “бродят” по сети, ища уязвимые места для взлома компьютерных систем. Хакер может украсть просто какую-нибудь небольшую часть информации с вашего ПК, чтобы причинить вам серьезный вред. Худшее, что вы можете сделать – это просто считать, что ваш компьютер и сам по себе надежно защищен.

Кто такой хакер

Компьютерные хакеры – это лица, которые хотят получить доступ к вашему компьютеру для его использования без всякого ведома или разрешения с вашей стороны, для своих незаконных целей.

Мотив большинства хакеров – это любопытство, вызов в жизни или ложное чувство силы, в то время как мотивом других являются только деньги. Однако, каким бы ни был мотив хакера, взлом вашего компьютера является незаконной деятельностью, а хакеры – это реальные люди, которые могут ворваться в ваш компьютер точно также, как воры могут проникнуть в ваш дом. Поэтому, вы должны знать, как остановить хакеров (воров) и как защитить компьютер от взломщиков, которые могут украсть ваши деньги или повредить вашей репутации.

Существуют различные подгруппы хакеров, различающиеся по их “моральным” установкам. Например, “белые” хакеры не взламывают системы для вредоносных целей, в то время как “черные” хакеры подрывают безопасность в преступных целях, таких, как кража информации о кредитных картах или вандализм.

Хакер вначале собирает информацию о намеченной цели, выясняет лучший план атаки, а затем атакует возможные уязвимости (слабые места) в системе. Такие вредоносные программы, как трояны и черви, специально разрабатываются и используются хакерами для взлома.

Хотя не существует полностью безошибочного метода для защиты от хакеров, вы, однако, можете предотвратить себя от того, чтобы стать легкой мишенью для них. Узнаем, как защитить компьютер доступными, эффективными и бесплатными способами.

Слежка по телефону

Некоторые операторы предоставляют услугу по отслеживанию местоположения чужого телефона. Предполагается, что его владелец ваш близкий родственник (ребенок или супруг/супруга) и дает на это согласие оператору отправкой SMS на определенный номер. Если вы оставите телефон без присмотра, такой жучок может появится и без вашего ведома — кто-нибудь отправит SMS-сообщение, сотрет его и будет следить за вашими перемещениями. Проверить, подключена ли вам такая «услуга», можно в личном кабинете на сайте оператора, но лучше — позвонив на номер техподдержки.

Если вы пользуетесь смартфоном на базе Android, то ваше перемещения можно отследить на сайте Google, нужно лишь знать ваш пароль. Подозреваете, что ваш пароль известен кому-то еще — поменяйте его.

Доступ к облачным хранилищам

Возможно, вы с другом смотрели совместные фотографии на компьютере и он решил перекинуть их вам в облако со своего компьютера. Даже если он потом разлогинился, не факт, что компьютер не запомнил пароль. В большинстве облачных сервисов можно посмотреть, каким устройствам разрешен доступ. Зайдите в настройки и удалите все сомнительные компьютеры и приложения. Если видите, что заходил кто-то посторонний, поменяйте пароль.

Слежка в соцсетях

Пароли от аккаунтов в соцсетях подбирают и воруют все кому не лень. «ВКонтакте» можно посмотреть последние действия с аккаунтом: с какого IP-адреса, компьютера или приложения заходили. Если вы обнаружили подозрительную активность, просто завершить все сеансы недостаточно, нужно поменять пароль, а можно еще и настроить двухфакторную аутентификацию.

Чтение почты

Взлом почты — самое простое и порой единственное, на что способны доморощенные хакеры. Проверьте IP-адреса в истории входа. Даже если нет ничего подозрительного, все равно поставьте двухфакторную аутентификацию с помощью приложения (Google Authenticator или Яндекс.Ключ) или кода, который приходит по SMS.

Перехват переписки на компьютере

Обнаружить на компьютере трояна, который перехватывает все, что вы пишете, делает скриншоты и отправляет их куда-то, визуально бывает трудно — как правило, он скрыт и из запущенных процессов, и из списка установленных программ. В этом случае пригодится какой-нибудь хороший антивирус (например Avast) — он найдет трояна, заблокирует и удалит.

Как обезопасить себя от взлома и слежки

Помимо банальных советов, вроде «не храните пароль от почты на листочке, прикрепленном к монитору» и «не используйте легкие пароли типа 123456» мы можем дать еще несколько:

— При помощи файервола (от английского fire wall – огненная стена), можно защитить свой компьютер от атак хакеров, а также предотвратить отсылку конфиденциальных данных хакеру. Есть возможность при помощи файервола блокировать сеть хакера. Файервол будет максимально полезным, если использовать его в связке с антивирусом.

— Регулярно обновляйте операционную систему, так разработчики устраняют любые недостатки в обеспечении безопасности, устраняют «лазейки» операционной системы с помощью которой хакеры могли бы пробраться к вашему персональному компьютеру.

— Заведите менеджер паролей. Он позволит вам не запоминать сложные комбинации цифр и букв, но все все время хранить их под рукой. Вход в такой менеджер нужно защитить паролем.

— Для регистрации на различных сервисах используйте разные логины. Это значительно уменьшит шанс взлома Вашего аккаунта хакерами.

— Так же как и логины, нужно использовать различные пароли. Желательно сделать их наиболее сложными, для этого можно использовать прописные и заглавные буквы, цифры и символы. Для генерации паролей можно использовать специализированные программы, при этом некоторые из них помогут их ещё и запомнить и автоматически вставлять их в формы на сайтах. Этим свойствам соответствует программа AiRoboform.

— Отдельная почта. Если Вы вынуждены регистрироваться на сайтах сомнительной направленности, то будет безопаснее, если Вы заведёте для этой цели отдельный почтовый e-mail ящик. Это убережет Вас от головных болей, так как в случае использования основного почтового ящика, на него непременно начнут поступать спам (нежелательные письма).

— Удаляйте из почты письма, в которых в открытом виде содержатся пароли. Особенно, если вы используете один и тот же пароль на разных сайтах и сервисах. Очищайте корзину вручную.

— Если Вы участвуете социальных сетях в интернете, то, если Вы вступаете в сообщества, не следует оставлять контакты, фотографии и подобную конфиденциальную информацию там. Мошенники могут воспользоваться этими данными в своих целях.

— Избегайте ввода данных от почты, соцсетей и облачных сервисов в сторонних приложениях. Одно дело, кода приложение просто предлагает вам подтвердить вход нажатием кнопки ОК в вашем аккаунте и совсем другое — когда оно открывает какое-то окно и просит ввести логин и пароль. Нет никакой гарантии, что эти данные не уйдут злоумышленникам.

— Когда продаете смартфон, планшет или компьютер, сотрите с него всю личную информацию, переустановите операционную систему (или сбросьте ее к заводским настройкам), а затем пройдитесь шредером — программой, которая несколько раз перезапишет удаленные файлы случайной информацией.

— Ни в коем случае не отправляйте SMS сообщения на незнакомые номера. Это может привести к значительному вычету с Вашего телефонного счёта.

— Желательно нигде не оставлять данные по кредитной карте, её номер и другие платёжные данные. Если Вы намерены пользоваться оплатой кредитной картой в интернет магазинах, то следует завести себе отдельную электронную карту для интернет платежей. Эту услугу предоставляют некоторые известные банки.

— Если у Вас есть свой сайт, то наверняка Вы пользуетесь FTP-менеджерами, которые помогают значительно упростить закачку и обновление файлов на хостинге. Рекомендуется не сохранять пароли и логины для доступа к аккаунту по средствам FTP-менеджера. Они могут быть легко украдены злоумышленниками.

— Многие современные интернет браузеры, например, Google Chrome или Mozilla FireFox и другие, позволяют сохранять пароли и логины для доступа к различным сервисам и сайтам. Делаете Вы это на свой страх и риск. Часто в браузерах находят так называемые дыры, способные дать хакерам возможность получить доступ ко всем данным, а сохранённые пароли значительно упростят хакерам работу. Поэтому, аналогично предыдущему пункту, не храните пароли в браузерах.

— Если уж заводить почтовые ящики, то делать это нужно у надёжных почтовых сервисов, таких как, Gmail.com, Yandex.ru, Mail.ru, Rambler.ru. Эти сервисы имеют надёжную защиту от взлома и кроме того позволяют предохранять e-mail ящик от спама.

— Не посещайте сомнительные сайты. Очень часто сайты с сомнительным содержанием такие, как бесплатные порносайты и сайты с халявой (нужно же им как-то оплачивать своё существование) таят в коде своих страниц червя, который с удовольствием перетечёт к вам на компьютер. В последнее время различные поисковики, например google, предупреждают при выводе результатов поиска об опасности того или иного сайта для вашего компьютера. Будьте осторожны с тем, что попадает на ваш компьютер. Не желательно без обновлённого хорошего антивируса подключать к своему компьютеру устройства хранения информации. В наше время вирусы на CD или DVD дисках попадаются очень редко, практически никогда. Даже на пиратских. Хотя несколько лет назад тенденция была совсем другая.

— Используйте облачные системы хранения данных для хранения важных финансовых, деловых или личных документов.

— Не храните важные файлы на рабочем столе — это пространство для менее важных файлов и программ (например, новый фильм, который вы только что приобрели).

— Защитить паролем важные документы на жестком диске с помощью программы сжатия файлов, таких как WinRar для Windows, или StuffIt для Mac.

Итак, как защитить компьютер от хакеров? Просто следуйте вышеперечисленным советам, сохраняя ваш компьютер в актуальном состоянии с поддержкой брандмауэра (фаервола), и это поможет вам держать хакеров на расстоянии, так как что они, вероятно, будут продолжать поиски более легкой цели, чем ваш ПК.

Скачать:
Персональная защита от хакеров. Руководство для начинающих — Пожалуйста Войдите или Зарегистрируйтесь для доступа к этому контенту

Источник: http://os-info.ru/enziklopedia-brzopasnosti/lichnaya-bezopasnost/kak-zashhitit-kompyuter-ot-xakerov.html

10 важных советов безопасности для защиты сайта от хакеров

Вы, наверное, думаете, что ваш сайт не представляет ценности для взлома, но это не так. Web-сайт постоянно подвергается риску быть взломанным. Большинство взломов происходит не с целью украсть ваши данные или испортить web-сайт, а для того, чтобы использовать сайт для рассылки спама или производить какие-либо незаконные действия. Написано множество скриптов, которые бегают по Интернету в попытке найти сайты с известными проблемами безопасности. Ниже приводится 10 лучших советов, которые помогут сохранить ваш сайт в безопасности:

1. Регулярно обновляйте программное обеспечение

Этот совет может показаться банальным, но своевременное обновление программного обеспечения может помочь вам обезопасить ваш сайт. Это относится как к серверному обеспечению, так и к любому обеспечению, которое может быть запущено на вашем сайте, например, CMS. Как только находятся дыры в безопасности — хакеры тут же ими пользуются.

Об обновлении серверного программного обеспечения должна беспокоиться хостинг компания, так что вам, возможно, не стоит беспокоиться об этом.

Если вы используете программное обеспечение сторонних разработчиков, например, CMS, то вы должны убедиться, что версия актуальна на текущий момент. У большинства разработчиков есть RSS лента с описанием всех вопросов безопасности. WordPress и многие другие CMS уведомляют о доступных новых версиях системы.

2. SQL-инъекции

SQL инъекции — атака, когда хакер использует поле web формы или параметры URL строки с целью получения и манипулирования данными, хранящимися в базе данных. При использовании обычных SQL запросов можно вставить вредоносный код, который может изменить таблицы, получить информацию или удалить данные.

Если хакер изменит URL параметр и напишет ‘ OR ‘1’ = ‘1, тогда запрос будет выглядеть так:

Т.к. 1 = 1, то это позволит хакеру добавить дополнительный запрос в конец SQL запроса, который так же будет выполнен.

Вы можете легко предотвратить это, если будете всегда использовать параметризованные запросы.

3. XSS

Cross Site Scripting — атака, в которой злоумышленник пытается запустить вредоносный код для посетителей сайта. Нужно убедиться, что вы всегда проверяете данные, кодируете, обрезаете или удаляете все сторонние HTML вставки.

Источник: http://alexdev.ru/1025

Как защитить свой сайт от взлома?

5 советов по усилению безопасности сайта

Что только не придумывают владельцы сайтов, чтобы не заниматься вопросами их безопасности: «мой сайт не представляет ценности для хакеров», «вряд ли меня кто-нибудь захочет взломать» и все в этом духе. Мол, работает сайт, и ладно.

Полагая, что ваш сайт не представляет для киберпреступников никакой ценности, вы сильно недооцениваете вашего незримого противника. Большинство взломов — это не банальные кража данных или поломка шаблона сайта, а попытка использовать сайт для распространения спама или создания на нем временного хранилища файлов незаконного характера. Другие, не менее распространенные случаи злоупотребления взломанными сайтами, заключаются в использовании сайтов для ботнета или для скрытого майнинга криптовалюты. И не забывайте про интернет-вымогателей.

Как правило, взлом выполняется автоматическими скриптами, написанными для эксплуатирования уязвимостей в программном обеспечении. По данным компании Positive Technologies, специализирующейся на информационной безопасности, количество киберпреступлений в 1 квартале 2019 года выросло на 32% по сравнению с аналогичным периодом предыдущего года. И, исходя из прогнозов экспертов, количество кибератак будет расти. Поэтому предлагаем вам действовать превентивно и подготовить защиту заранее.

В этой статье собраны 5 лучших советов, которые помогут вам и вашему сайту безопасно работать в интернете.

Регулярно обновляйте CMS сайта

Этот совет может показаться очевидным, однако регулярное обновление программного обеспечения имеет важное значение для обеспечения безопасности вашего сайта. Когда в программном обеспечении обнаруживается уязвимость, хакеры моментально пытаются ее эксплуатировать. Не медлите: регулярно обновляйте CMS и все ее компоненты (плагины, модули, файлы темы и др.). Однако не забывайте, некоторые обновления могут быть несовместимы друг с другом. Поэтому перед любым обновлением настоятельно рекомендуем делать резервную копию.

Также обязательно подпишитесь на уведомления от поставщика вашего программного обеспечения, чтобы держать руку на пульсе самых последних новостей. На сегодняшний день подавляющее большинство компаний делают email-рассылки, поддерживают push-уведомления и ведут группы в социальных сетях, через которые оперативно оповещают своих подписчиков об обнаруженных уязвимостях и актуальных обновлениях. А некоторые CMS, в числе которых популярный WordPress, сообщают об обновлениях каждый раз при входе в систему.

Устанавливайте SSL-сертификаты

На сайте, который защищен SSL-сертификатом, злоумышленники не могут перехватывать личные данные посетителей: логины, пароли, данные банковских карт и другую информацию. SSL-сертификат гарантирует их защиту. Вспомним, как в свое время поисковик Google объявил, что будет повышать в поисковой выдаче сайты, которые перешли на протокол HTTPS, что дает неоспоримое преимущество для SEO. Яндекс также не остался в стороне и упомянул о преимуществах использования SSL сертификата в своем блоге. Так что времена небезопасного протокола HTTP уходят в прошлое.

Определить сайт с SSL-сертификатом легко — если вы видите небольшой замок рядом с адресом сайта в браузере, значит сайт защищен, а вся информация передается по защищенному протоколу HTTPS.

Компании, выпускающие SSL-сертификаты, называются удостоверяющими центрами, которые, в свою очередь, делятся на коммерческие и некоммерческие. Например, некоммерческий удостоверяющий центр Let’s Encrypt выпускает полностью бесплатные и автоматизированные сертификаты, которые защищают сайты не хуже платных аналогов. Главное отличие платного сертификата от бесплатного — финансовая гарантия. В случае взлома платного сертификата удостоверяющий центр может выплатить компенсацию. Порой, это весьма солидные суммы, от $500К и выше.

Шифруйте пароли

Пароли на сайте всегда должны храниться в виде зашифрованных значений, предпочтительно с использованием алгоритма хеширования (например, SHA). Использование этого алгоритма означает, что при аутентификации пользователей вы будете сверять только зашифрованные значения. В случае взлома и кражи захешированных паролей это минимизирует ущерб, поскольку расшифровка таких паролей невозможна. Единственное, что с ними можно сделать, это провести атаку с использованием словаря или угадывать каждую комбинацию скриптом, что в вычислительном плане долго и нецелесообразно.

Также крайне важно самому использовать надежные пароли и учить этому посетителей сайта, чтобы защитить их учетные записи. Внедрение таких требований к паролям, как минимальное количество символов, наличие заглавных букв и цифр поможет защитить пользовательские данные в долгосрочной перспективе.
В недавнем исследовании, российские эксперты по безопасности проверили 3,7 миллиарда логинов и ключей за последние 3 месяца, которые можно найти в свободном доступе и отметили, что доля надежных паролей (буквы + цифры + символы) в сети всего 3%.

Далее  Как защитить почту Google двойной авторизацией

Как сгенерировать надежный пароль?

  1. Не менее 8 символов, желательно от 16.
  2. Должны быть цифры, буквы (в том числе и заглавные) и символы.
  3. Пароль должен быть бессмысленный.
    Пример: Rk3@s*9c;H38

Также особое внимание следует уделить способу хранению пароля.
Большинство пользователей предпочитают запоминать пароль, записывать в блокнот или заметки телефона, использовать оффлайн менеджер паролей и приложение на телефон.

Выполняйте резервное копирование сайта

Резервное копирование может спасти ваш сайт даже тогда, когда нет надежды вернуть работоспособность проекту. Часто бывает, что злоумышленник заносит «заразу» на сайт задолго до того, как вы ее заметите и в этом случае, чем старее будет ваша резервная копия, тем больше шансов на восстановление. Для бизнеса в сети наличие резервного копирования должно быть не менее важным, чем продажи. Если сайт пропадет, ваша торговля не только будет остановлено, но вам нужно будет создавать сайт с нуля, что требует инвестиций и времени.

Таким образом, резервное копирование спасает, если:

  1. Произошел взлом злоумышленниками
  2. От случайного удаления файлов сайта.
  3. От падения сервера, пожара и других катастроф.

Рекомендуем ежедневно делать резервную копию, при это несколькими способами с обязательной, регулярной загрузкой копии на локальный компьютер или на внешнее записывающее устройство, вроде флешки или переносного жесткого диска

Как осуществлять резервное копирование?

Существует несколько способов:

  1. В зависимости от CMS, используйте специальные плагины и модули по резервному копированию.
  2. Вручную копируйте файлы с сервера на локальный компьютер.
  3. Ежедневное копирование, предоставляемое SpaceWeb.
  4. При помощи других специальных программ и скриптов.

Проверяйте сайт на вирусы

SpaceWeb предоставляет пакет антивирусного ПО Revisium, который способен определить:

  1. Вирусные вставки;
  2. Веб-шеллы;
  3. Бэкдоры;
  4. Фишинговые страницы;
  5. Дорвеи;
  6. Cпам-скрипты;

Антивирусное ПО работает в 2х режимах, в автоматическом и ручном, а также способно самостоятельно, с вашего разрешения, удалять вредоносный код.

Подробнее с антивирусом Revisium на SpacWeb вы можете ознакомиться здесь: https://help.sweb.ru/entry/38/
Также предлагаем воспользоваться нашей подсказкой и защитить свой сайт от вредоносного ПО: https://help.sweb.ru/entry/37/

Пожалуй, это основные способы обезопасить свой сайт.
Есть также отдельные способы взлома, которые применяют наиболее опытные хакеры и мы отдельно их осветим в следующих статьях. Если вы стали жертвой злоумышленников и вышеуказанные методы безопасности вам не помогают, рекомендуем обратиться к нашему сертифицированному партнеру Revisium.

Топ-6 сервисов для проверки кроссбраузерности сайта

Источник: http://sweb.ru/journal/article/kak-zaschitit-svoy-sayt-ot-vzloma/

Уроки веб-безопасности RU-CENTER: Как защитить свой компьютер при работе из дома

Пандемия коронавируса повлияла на привычный уклад жизни. Много изменений коснулись организации рабочего процесса. Так, многие компании отправили сотрудников на удалённую работу. Несмотря на то, что летом меры самоизоляции постепенно смягчаются, до полноценного возвращения в офисы ещё далеко.

Во второй статье из серии «Уроки безопасности RU-CENTER» мы расскажем, как защитить компьютер и работать из дома безопасно.

Сценарии удалённой работы

Деятельность большинства компаний связана с хранением персональных данных клиентов и использованием частного программного обеспечения. Владельцы бизнеса следят за безопасностью, ведь за конфиденциальной информацией и разработками могут охотиться конкуренты и злоумышленники.

В зависимости от технических возможностей и ресурсов, работа на удалёнке может быть организована по-разному. Есть два распространённых сценария.

1. Сотрудники работают через удалённый доступ. В этом случае человек работает из дома, подключаясь к офисному оборудованию с помощью специальных программ: TeamViewer, удалённый рабочий стол Windows и т. п.

Такой сценарий не лишён рисков, потому что злоумышленники могут взломать домашний компьютер сотрудника и шпионить за его действиями.

Чтобы исключить утечку данных, отдел безопасности устанавливает аппаратную идентификацию по IP или использует асимметричное шифрование с выдачей приватного ключа.

2. Сотрудники работают с домашнего компьютера. Это ещё более уязвимый вариант с точки зрения безопасности. Сотрудники используют корпоративные сервисы (почту, мессенджеры, административные панели) с компьютеров, которыми пользуются в повседневной жизни. Они, как правило, защищены хуже и легко поддаются кибератакам.

Чтобы защитить домашний компьютер, можно использовать корпоративные VPN-серверы и подключаться к рабочим программам через VPN-клиенты: Cisco AnyConnect, OpenVPN и т. п. Однако не у всех компаний есть специальное оборудование, которое будет маршрутизировать и защищать трафик удалённых сотрудников.

Кроме того, использование VPN не защищает от угроз, связанных с поведенческими факторами. Поэтому мы собрали рекомендации, следуя которым вы минимизируете риск утечки данных, работая с домашнего компьютера.

Устанавливайте надёжные пароли

Сложный уникальный пароль — неотъемлемое требование конфиденциальности, но в 2020-м пользователи по-прежнему создают такие, которые попадают в ежегодные рейтинги худших: «12345», «password», «qwerty» и т. д. Или придумывают одну комбинацию для всех аккаунтов.

Если вы узнали себя в предыдущем абзаце, на удалённой работе это может привести к плачевным последствиям. Например, злоумышленники устроят брутфорс-атаку методом подбора, взломают ваш пароль, если он будет слишком простым, и получат доступ к рабочим инструментам.

Чтобы этого не произошло, создавайте пароли, которые содержат:

  • более 8 знаков (оптимальная длина 12–14);
  • прописные и строчные буквы;
  • не только буквы, но и цифры, символы (#, $, % и т. п.).

Избегайте общеупотребительных слов (password, parol), последовательности символов (12345, asdf) и биографической информации: псевдонимов, адресов, имён и дат рождений родственников и т. п. Первые — легко поддаются взлому, а личные данные могут использовать хакеры при «прицельной атаке».

Раньше эксперты в области веб-безопасности советовали пользоваться генераторами случайных паролей:

Однако такие пароли тяжело не только взламывать, но и запоминать. Поэтому сейчас рекомендуется выбирать фразы и сочетания, которые что-то значат для вас: ассоциации, цитаты из любимых произведений и т. п.

Другой критерий хорошего пароля — уникальность. Не стоит назначать для входа на рабочую почту пароль, который используется, например, ВКонтакте. Возникает вопрос, как хранить большое количество разных паролей и не путать их.

Вы можете использовать защищённые менеджеры паролей (например, Диспетчер Google, Keeper, Dashlane и др.), но не стоит создавать текстовый файл с паролями на рабочем столе или хранить их в рукописном виде, это противоречит правилам безопасности.

Подключите двухфакторную аутентификацию

Двухфакторная аутентификация — это «двухслойная» защита входа. Чтобы включить её, нужно добавить в настройках системы номер, на который будет приходить одноразовый код. Реже используется подтверждение входа по email, при использовании USB-ключей или биометрических данных.

Источник: http://www.nic.ru/info/blog/personal-protection/

Как обезопасить свой веб-сайт?

В поисках современных методов и инструментов, позволяющих нам хоть с какой-то долей уверенности утверждать, что веб-сайт защищён от будущих хакерских атак (В том, что они будут у всех, ни у кого ведь нет сомнений? И если их еще не было, то это лишь вопрос времени), были найдены рекомендации, которые в этой статье рассмотрим.

Этот небольшой, но важный список конкретных действий, который следует производить каждому со своим веб-ресурсом, если репутация компании, безопасность веб-ресурсов и данных клиентов – это не пустые слова для вас.

Можно выделить несколько основных способов защитить свой сайт:

  • обеспечить защиту от DDoS-атак;
  • подключить SSL-сертификат;
  • использовать надёжный хостинг;
  • использовать безопасные плагины/библиотеки/фреймворки/CMS (далее – «сторонние модули»);
  • применять существующие техники защиты от SQL-инъекций и XSS-атак;
  • обеспечить ведение журнала веб-сайта и мониторинг событий безопасности;
  • производить регулярное резервное копирование веб-сайта и всех важных данных;
  • использовать надёжные и сложные пароли, а также защиту от перебора паролей;
  • в случае наличия административной панели, с помощью которой происходит управление содержимым веб-сайта, необходимо изменить стандартный адрес входа и обеспечить контроль доступа.

Естественно, у каждого пункта есть своё «но» и ряд подпунктов, на которых следует заострить внимание. Также их можно разделить на подгруппы исходя из следующих соображений: одни действия требуют одноразового подключения, настройки и редких проверок работоспособности (настройка хостинга и SSL-сертификата), а другие подразумевают под собой постоянные проверки, обновления и требуют пристального внимание (всё остальное).

Надёжный хостинг и SSL

Итак, начнём с того, что в нашем арсенале имеется надёжный сервер или виртуальный хостинг, администрирование которых останутся за рамками данной статьи. Что касается подключения SSL-сертификата, то это является обязательной мерой и здесь даже комментарии излишни.

Защита от DDoS

Если ваш хостинг-провайдер предоставляет услуги защиты от DDoS-атак или вы пользуетесь услугами анти-DDoS-сервисов, то этот вопрос можно считать закрытым, но почему бы не усилить защиту и не организовать её своими руками, что несомненно является трудоёмкой задачей и подразумевает одновременное использование следующих техник: если в качестве веб-сервера используется Apache, то необходимо поставить перед ним кеширующий прокси – Nginx или Lighttpd, а лучше на фронтенде использовать Nginx, но с несколькими надстройками (ограничить размеры буферов и соединения в Nginx, настроить тайм-ауты и т.п.; использовать модуль testcookie-nginx; использовать фильтрацию по URL и отдавать нестандартный код 444, который позволяет закрыть соединение и не отдавать ничего в ответ); в некоторых случаях использовать блокировку по географическому признаку; автоматизировать процесс анализа логов веб-сайта, обращая особое внимание на объём трафика, время ответа сервера, количество ошибок и количество запросов в секунду.

Безопасность сторонних модулей

Что касается рекомендации, относящейся к использованию безопасных сторонних модулей в своих приложениях, то эта тема пожалуй одна из самых важных, ведь большинство вредоносных атак происходит через сторонние модули. Суть данного пункта заключается в том, чтобы использовать фреймворки и библиотеки со встроенными функциями безопасности, которые помогут разработчикам свести к минимуму появление уязвимостей в процессе реализации. Хотелось бы выделить более детальные рекомендации, касаемо данного пункта: используйте сторонние модули из доверенных источников, которые поддерживаются сообществом и активно разрабатываются; поддерживайте в актуальном состоянии список всех сторонних модулей; используйте только тот функционал, который требуется в рамках вашего приложения.

SQL-инъекции и XSS-атаки

Рекомендация, относящаяся к обеспечению защиты от SQL-инъекций и XSS-атак, требует самого подробного объяснения, ведь целью злоумышленников здесь являются конкретные данные из базы данных (SQL-инъекция) и пользовательские данные (XSS-атака). Стоит также понимать, что вопросы, связанные с SQL-инъекциями, затрагивают обширный раздел, посвящённый обеспечению безопасного доступа ко всем хранилищам данных, включая реляционные базы данных и базы данных NoSQL, и включают вопросы безопасности запросов (необходимо избегать нелегитимных входных данных в составе SQL-команд и наилучшим решением является использование параметризованных запросов, которые можно применять к конструкциям SQL/OQL и хранимым процедурам), конфигурации (необходимо убедиться в корректной настройке имеющихся средств обеспечения безопасности СУБД и платформы, на которой она установлена), аутентификации (должна выполняться по защищенному каналу) и соединений (в связи с существованием нескольких способов взаимодействия с базой данных (посредством службы или API), необходимо обеспечить безопасность соединений с помощью шифрования и аутентификации).

Что касается межсайтового выполнения сценариев (XSS-атака), то в данном случае последствия средней степени тяжести могут нанести отражённая XSS или XSS на основе объектной модели документа (DOM), а к серьезным последствиям может привести межсайтовое выполнение хранимых сценариев с исполнением кода в браузере пользователя с целью кражи учётных данных, перехвата сессий или установки вредоносного программного обеспечения. Главной мерой защиты в данном случае является экранирование (добавление определённых комбинаций символов перед символами или строками для недопущения их некорректной интерпретации), кодирование данных (преобразование определённых символов в комбинации символов, которые не представляют опасности для интерпретатора) на стороне сервера и использование набора HTTP-заголовков, в частности, Set-Cookie с параметрами HttpOnly и Secure, а также X-XSS-Protection со значением 1.

Общей мерой защиты, используемой для предотвращения внедрения SQL-кода и межсайтового выполнения сценариев, является проверка всех входных данных на соответствие синтаксической и семантической норме. Под синтаксической нормой следует понимать полное соответствие входных данных ожидаемой форме представления, а семантическая норма свидетельствует о том, что входные данные не выходят за пределы конкретного функционала.

Журналирование и мониторинг

Рекомендация, относящаяся к журналированию всех событий и мониторингу событий безопасности, уже упоминалась при рассмотрении методов защиты от DDoS-атак, но в данном случае рассматривается более широкая сторона вопроса, связанная с обнаружением атак и противодействием им, а также расследованием уже случившихся инцидентов безопасности. Таким образом, кроме стандартных средств журналирования, предоставляемых веб-сервером, необходимо убедиться в регистрации времени события и идентификатора пользователя, а также потенциально опасной активности, характерной для вашего веб-сайта. В случае обнаружения вредоносной активности ваше приложение должно заблокировать пользовательскую сессию или заблокировать по IP-адресу, в общем принять меры и сообщить об этом администратору. Тут уже речь идет о таких средствах, как WAF или IDS/IPS.

Бэкапы

Что касается регулярного резервного копирования веб-сайта и всех данных, то здесь необходимо задуматься о месте и виде хранении этих данных. Эффективным способом является шифрование хранилищ критичных данных и резервных копий, а также хранение файлов резервных копий не на файловой системе, а в другом месте, в безопасности которого нет сомнений и которое всегда будет под рукой для быстрого развёртывания.

12345 или qwerty?

Рекомендация по использованию надежных и сложных паролей не только и не столько про пароли, а в целом про аутентификацию и управление сессиями пользователей. Существует три уровня аутентификации и использование только паролей относится лишь к первому – самому простому уровню (второй – многофакторная аутентификация; третий – аутентификация на основе шифрования). Однако даже здесь есть ряд требований к самим паролям, механизму восстановления пароля, а также к безопасному хранению паролей. Управление сессиями позволяет контролировать состояние аутентификации пользователя для работы с веб-сайтом без повторной аутентификации. К сессиям также предъявляются требования к созданию и завершению.

Защита административной панели

Заключительной рекомендацией является защита административной панели веб-сайта, ведь она является одним из слабых мест в общей системе из-за обширного функционала, связанного с добавлением/редактированием постов и страниц, работой с файлами и многим другим. Поэтому важным условием является обеспечить надлежащий контроль доступа, а также максимальную скрытность от злоумышленников местонахождения административной панели, реализуемую простым переносом адреса на нестандартный и максимальной защитой данной точки входа посредством защиты от перебора, фильтрации по IP-адресам и т.д. При создании системы контроля доступа следует придерживаться следующих принципов: отправка всех запросов через систему контроля доступа; запрет доступа по умолчанию (т.е. отклонять запрос, если он не был разрешен специально); минимальные привилегии для всех пользователей, программ или процессов; отказ от использования ролевой модели управления доступом, жёстко заданной в коде; регистрация всех событий, связанных с контролем доступа.

Вывод

В обзорной статье рассмотрены некоторые техники, направленные на повышения уровня безопасности веб-сайта. Каждая отдельная рекомендация заслуживает отдельного рассмотрения, но даже при таком кратком рассмотрении остается ясно одно – подход к обеспечению безопасности должен быть комплексным и системным и он не терпит снисходительного отношения. Необходимо тщательно подходить к контролю доступа, поддерживать в актуальном состоянии имеющиеся сторонние модули, фильтровать входные данные и многое другое. Есть что добавить? Обязательно поделитесь в комментариях.

На правах рекламы

VDSina предлагает надёжные серверы с посуточной или единоразовой оплатой, каждый сервер подключён к интернет-каналу в 500 Мегабит и бесплатно защищён от DDoS-атак!

Источник: http://habr.com/ru/company/vdsina/blog/503772/

Как защитить аккаунт Вконтакте от взлома — безопасность превыше всего

Стали жертвой взлома, значит пора защитить Вконтакте свой профиль. Сделать это можно несколькими простыми способами. Для этого не нужны знания в программировании и специальных кодовых разметка. В этой публикации рассмотрим, как установить барьер для злоумышленников на свою учетную запись. Уверяем, с этой задачей справится даже новичок.

С какой целью взламывают страницы ВК

Вконтакте — популярная социальная сеть. В ней люди не только общаются, но и зарабатывают. Мошенники с целью наживы претендуют на аккаунты крупных организаций, банков и других учреждений. Другими словами стараются захватить странички с высокими финансовыми перспективами.

В результате что мы имеем? Куча потраченных нервов, денег и сил. Порой человек даже влазит в долги, чтобы расплатиться за действия злоумышленников.

1 способ защиты от взлома

Создание логина и пароля недостаточно для полноценной защиты ВК. Что касается логина, то его сложность совсем не играет роли. Все дело в пароле. Итак, чтобы усилить защиту Вконтакте придумайте пароль, который соответствует ниже перечисленным требованиям:

  • содержит буквы латинского алфавита;
  • используется разный регистр символов;
  • применена разная раскладка клавиатуры;
  • использованы цыфры и прочие символы;
  • отсутствие пробелов;

Обращаем ваше внимание, что нельзя использовать при составлении пароля числа, соответствующие вашей дате рождения. Рекомендуем для создания высокого уровня защиты использовать специальные генераторы, которые автоматически составят пароль. Вам лишь нужно будет его запомнить.

2 способ защиты для ВК

Данный вариант подразумевает применение двухфакторной аутентификации. Она представляет собой две ступени защиты. Первая — логин и пароль, вторая — одноразовый индивидуальный код. Для того чтобы включить данную систему, выполинте следующие действия по порядку.

  1. Войдите на свою личную страницу, затем кликните по иконке своего профиля (в правом верхнем углу). Перейдите к разделу «Настройки»

2. Следом выберите пункт «Безопасность», в блоке «Подтверждение входа нажмите кнопку «Подключить».

3. В следующем окне нажмите «Приступить к настройке». В этом диалоговом окне рассказывается, как защитить аккаунт Вконтакте от хакера. Изучите информацию внимательно.

4. Теперь в появившемся окне введите свой действующий пароль. Жмите синюю кнопку «Подтвердить».

Далее все что вам нужно сделать, это следовать инструкции по завершению настроек. Как видите нет ничего сложного и ваш аккаунт имеет еще один уровень защиты.

Обратите внимание! Двухфакторная аутентификация Вконтакте — это лакомый кусочек для злоумышленников. По статистике больше всего взломов происходит именно в аккаунтах с усиленной защитой. Поэтому подумайте хорошо, нужен ли вам такой риск!

Уважаемые пользователи, если у вас остались вопросы по теме, как защитить страницу Вконтакте, обязательно задавайте их в комментарии под статьей. Знаете другие способы — смело делитесь. Мы будем рады, если вы поделитесь с нами своими идеями.

Источник: http://luchiy-brayzer.ru/sotsialnye-seti/kak-zashhitit-akkaunt-vkontakte-ot-vzloma/

Обзор: 7 лучших плагинов для защиты сайта на WordPress

В этой статье я расскажу про лучшие плагины защиты WordPress от взлома, спама в комментариях, вирусов, брутфорс и других типов атак. Есть много способов взломать сайт на этой CMS, не все плагины могут защитить от них. Я отобрал наиболее эффективные плагины безопасности Вордпресс.

Также рекомендую ознакомиться:

Перед тем как перейти к описанию правильной защиты сайта от вирусов и малвара, хотелось порекомендовать хостинг NETX . Использую его с августа 2019 года, до сих пор не было проблем. Цены не просто удивляют, а поражают. За 16 долларов в год я получаю 15 ГБ SSD и возможность разместить 5 сайтов. Когда закончится срок действия других хостингов — перенесу их все сюда .

Как составлялся ТОП

Многие составляют рейтинги по популярности. Я считаю такой подход неправильным. Если один плагин был разработан в 2012 году, с того момента его установило больше пользователей, чем разработанный в 2016. Это естественно. К тому же, старые плагины более известны, но не всегда лучше.

Количество установок не говорит о качестве плагина. Я смотрю на оценки и их соотношение к инсталляциям. Да и не факт, что все установки активные. А вот выбор пользователей о чем-то говорит. В этой подборке плагинов я собрал те, у которых средняя оценка 5. Оговорюсь, что это мое субъективное мнение. Каким плагином защитить сайт – выбирать вам.

№7 Wordfence Security

Плагин недоступен на русском языке, есть только английская версия. В бесплатной версии Wordfence Security можно настроить такие параметры файрвола:

  • Черный и белый список IP адресов;
  • Заблокировать доступ к определенным URL сайта;
  • Настроить более 100 правил защиты от атак (для этого нужно разбираться в них);
  • Ограничить частоту и время попыток входа (защита от брутфорс);
  • Задать правила использования логинов и паролей.

Отдельно можно задать правила для роботов Google, отображения страницы 404. Блокировка пользователей, попытавшихся залогиниться через админку работает отлично. За 24 минуты у меня было 29 попыток несанкционированного входа!

Среди инструментов есть проверка WHOIS по IP адресу, диагностика сайта. В последней много технической информации, которую простому пользователю не понять. Но для продвинутых админов она будет полезной.

Для защиты от брутфорса есть возможность настроить 2-х факторную аутентификацию, капчу. Настроек маловато, так что защита от перебора логинов-паролей так себе. Например, нельзя задать собственный адрес страницы входа в панель администратора.

Не понимаю, почему у плагина такое количество установок. Наверное, от того что в нем есть базовые настройки безопасности, которые многих устраивают. Но, их можно обойти, если за дело возьмется профессиональный взломщик или хакер. Единственное что радует – хороший сканер уязвимостей.

Плагин Wordfence Security имеет гадкую особенность. Он после деинсталляции оставляет мусорные строки в файлах .htaccess и .user.ini. Это не влияет на работу сайта, пока не потребуется перенести его на другой хостинг. Сегодня решал проблему.

Если после переезда ресурса на другой хостинг выдается ошибка: «Страница недоступна сайт пока не может обработать этот запрос http error 500», проверьте эти файлы. В них прописан путь к wordfence-waf.php. Он остается старым и вызывает ошибку.

Если вы не используете плагин Wordfence Security, смело удаляйте все, что с ним связано. В файлах .htaccess и .user.ini это все, что находится между строками «# Wordfence WAF» и «# END Wordfence WAF». После этого проблема будет решена.

№6 WP Hide & Security Enhancer

Простой в управлении плагин, с помощью которого можно организовать базовую защиту сайта на WordPress. Можно использовать в качестве дополнительной меры безопасности. К сожалению, описания функций плагина доступны только на английском.

Особенность WP Hide & Security Enhancer: он прячет многое, через что злоумышленники могут получить доступ. Плагин позволяет изменить:

  • Адрес расположения файлов тем;
  • Расположение файла стилей style.css;
  • Адрес системных папок Вордпресс;
  • URL комментариев, записей автора, результатов поиска;
  • Путь к XML-RPC;
  • Отдельные мета-данные из HTML кода страницы;
  • Рабочие файлы уз корневой папки.

С помощью плагина защиты можно управлять JSON REST и показом слэша в конце адреса страницы. Можно настроить показ и скрытие верхней панели администратора для разных типов участников.

Кроме этого есть много других настроек, которые применяются к отдельным элементам и файлам. Если подойти к ним с умом, можно уменьшить риск взлома сайта. Похожего функционала нет ни у одного плагина защиты сайта от вредоносного ПО и атак.

WP Hide & Security Enhancer – не совсем стандартный способ защиты сайта. Мое мнение – этот плагин стоит установить и настроить, несмотра на то что его рейтинг 4,5. Единственный нюанс: обязательно сделайте резервную копию настроек:

№5 Cerber Security

Довольно неплохой плагин, русифицирован, но переводы оставляют желать лучшего. Подойдет для небольших сайтов, на взлом которых нецелесообразно тратить много ресурсов. Настройки простые, но защитить от средних атак поможет.

В плагине безопасности WP Cerber Security реализована сильная защита от входа в панель администратора. Доступно много опций, таких как:

  • Настройка количества и частоты попыток входа;
  • Белые и черные списки IP с гибкими настройками;
  • Взаимодействие с Cerber Lab (облачной базе вредоносных IP-адресов);
  • Сиена URL страницы входа в админку;
  • Блокировка доступа к XML-RPC, RSS, Atom и RDF, рабочим системным файлам.

В плагине можно настроить отдельные опции для каждого типа пользователя (администратор, редактор, подписчик и т.д.). Сюда входят перенаправления при входе и выходе, время сессии, двухфакторная авторизация.

Также есть встроенный сканер файлов ресурса. К сожалению, автоматическое сканирование, очистку, восстановление и перемещение в карантин можно настроить только в платной версии. В бесплатной доступно только ручное сканирование. Плагин отслеживает:

  • Появление новых файлов;
  • Изменения в существующих файлах;
  • Контрольные суммы;
  • Нежелательные (опасные) расширения;
  • Несопровождаемые файлы.

У WP Cerber Security есть хорошая защита от спама в комментариях. Он автоматически определяет ботов. Также есть возможность включить и отключить reCAPTCHA для разных типов заполняемых полей и форм.

У плагина есть своя уникальная фишка – Cerber.Hub . с помощью этой функции можно настроить доступ ко всем своим сайтам. После их подключения, можно управлять каждым сайтом, не выходя из административной панели основного. К сожалению, функция доступна только в платной версии. В бесплатной она работает в режиме «только чтение».

Как в большинстве плагинов безопасности сайта на WordPress, у WP Cerber Security есть возможность импорта и экспорта настроек, диагностика технических характеристик ресурса и сервера, журналы сканирования. Кроме них полезных инструментов нет.

В общем, плагин хорош, но в бесплатной версии многого не хватает. Базовых настроек хватит для защиты среднего уровня. Но сильный хакер или взломщик сможет обойти ее без каких-то особых проблем.

№4 NinjaFirewall

Неплохой плагин, который решает специфические задачи. К сожалению, доступен только на английском, французском и русском языке. Думаю, он стал популярным, так как во многих других плагинах нет контроля за определенными изменениями на сайте.

Чтобы получить доступ ко всем настройкам, плагин нужно переключить в режим Full WAF. Тогда вы сможете блокировать или разрешить прямой доступ к файлам php в папках:

  • wp-admin;
  • wp-includes;
  • wp-content;
  • cache.

Также можно разрешить или запретить сканирование и карантин разных типов запросов по переменным. Обычному пользователю WordPress это не понадобится. Разобраться с необходимостью работы с переменными сможет только обладающий определенными знаниями.

У плагина есть сканер, который отслеживает изменения файлов системы. Он может быть запущен вручную, но есть возможность настроить автоматическое сканирование. Сканер вредоносных программ был исключен из NinjaFirewall. Вместо него был создан отдельный плагин NinjaScanner .

У плагина NinjaFirewall защиты WordPress есть гибкая система настройки уведомлений. Вы будете получать оповещения на электронную почту, когда на сайте произойдет определенное действие. Например:

  • Загрузка плагина;
  • Активация плагина;
  • Установка темы;
  • Обновление движка Вордпресс.

Также есть простенькая защита от брутфорса. При ее включении невозможно зайти под логином admin. Можно настроить ввод капчи, включить защиту от ботов, защитить xmlrpc.php. Интересная особенность плагина – защита может быть включена постоянно, или только когда ваш сайт атакуют.

У NinjaFirewall есть 275 встроенных правил защиты. По умолчанию они все включены, но могут быть деактивированы вручную. Правила служат для защиты от специфических атак на сайт. Это основное достоинство плагина, благодаря ему можно защититься от большинства вариантов взлома сайта.

Платная версия плагина стоит от 27 до 100 долларов в год. В бесплатной версии нет таких инструментов:

  • Блокирование входа по геолокации и IP;
  • Защита отдельных URL от просмотра;
  • Защита от спама в комментариях;
  • Управления плагином на других сайтах из одной админки;
  • Многого другого.

Преимущество плагина NinjaFirewall проявляются тогда, когда к сайту имеют доступ несколько пользователей с разными ролями (редактор, автор и т.д.). Вы можете отслеживать и контролировать их действия. В остальном плагин слабоват. Но он станет хорошим дополнением к другим плагинам защиты сайта на Вордпресс от взлома.

№3 BulletProof Security

Короший плагин защиты от взлома и вирусов. Качественно переведен на русский язык. Есть ряд полезных и необходимых функций, возможность сканирования и настройки базы данных. Но некоторые возможности доступны только в платной версии BulletProof Security Pro.

У плагина сильный сканер файлов с продвинутыми настройками. Он проверяет наличие вредоносного кода не только в системных файлах, но и в базе данных. К сожалению, настроить автоматическое сканирование можно только в платной Pro версии.

Вход в админку сайта можно защитить, ограничив количество попыток авторизации. Также есть возможность поставить капчу. В платной версии ее можно установить на другие формы: BuddyPress, регистрации, восстановления пароля и т.д.

У плагина BulletProof Security есть хороший функционал для работы с базами данных. Вы можете создавать резервные копии или назначить график для их создания. Архивы будут сохраняться в указанной папке на хостинге. Также можно переименовать префикс БД. Его вы можете установить вручную, или воспользоваться генератором.

Интересная функция BulletProof Security – создание страницы заглушки. Она показывается пользователям, когда сайт на обслуживании. Например, во время обновления тем, плагинов и т.д. вы можете вставить собственный текст, изображения, анимацию и видеоролик. Для этого в плагине есть блок с классическим WYSIWYG редактором.

Для особо требовательных есть возможность настроить внешний вид рабочей панели плагина. Не знаю, кому это может понадобиться. Наверное, тем, кому нечем заняться

№2 Shield Security

Хороший плагин защиты интернет-ресурса с большим количеством возможностей. Почти полностью переведен (качественно) на русский. Платная версия – всего 1$/месяц. Я его использую на своих сайтах.

У плагина защиты сайта Shield Security есть интересная опция – можно установить администратора безопасности. Это конкретный пользователь, который может изменять настройки. Для всех остальных можно указать ограничения, действия, которые они не могут совершать. Пример:

  • Администрирование пользователей;
  • Действия с плагинами (установка, активация и т.д. по выбору);
  • Действия с темами (активация, изменения параметров и т.д.);
  • Работа со страницами.

В бесплатной версии есть простой фильтр для пользователей. Вы задаете максимальное количество попыток входа и время блокировки. В платной есть гораздо больше настроек для обнаружения таких людей.

Сканер плагина включается в ручном режиме, в платной версии можно настроить график. Позволяет отслеживать изменения файлов CMS WordPress, находить несвойственные системе файлы и плагины, которые давно не обновлялись. В платной версии он ищет:

  • Вредоносные программы (Malware);
  • Изменения файлов плагинов и шаблонов;
  • Уязвимости.

В Pro версии есть еще одна интересная возможность: White Label. Эта функция полезна, если вы хотите скрыть плагин от детекторов или администрируете чужой сайт. Можно настроить имя плагина, логотип, описание, домашнюю страницу.

Брандмауэр защищает от основных типов атак. Shield Security имеет мощную защиту от ботов, пытающихся войти в административную панель сайта. По желанию можно настроить:

  1. Таймаут между попытками входа, восстановления пароля, регистрации, оформления заказа;
  2. Идентификацию с помощью письма на электронную почту пользователя;
  3. Дополнительную проверку через Google Authenticator и/или Yubikey;
  4. Замену стандартной страницы входа wp-login, wp-admin на произвольный адрес, задаваемый администратором безопасности.

Для защиты от спама в комментариях используется встроенный список стоп-слов. Можно установить минимальный таймаут. Если комментарии будут оставляться пользователем чаще, будут применены действия. Можно включить опцию подтверждения, что пишет человек, а не робот – установить флажок.

В качестве дополнительных опций есть возможность включить или выключить автообновление плагинов, передачу определенных данных браузерам посетителей. Можно отключить XML-RPC, REST API, редактор файлов. Есть опции отключения тега WP Generator, обмана ботов путем предоставления неправильной версии WordPress, фишинга имен пользователей.

№1 All In One WP Security & Firewall

Хороший плагин защиты сайта на WordPress, непонятно почему недооцененный. Наверное, большинству пользователей лень в нем разбираться. Поэтому количество позитивных оценок мало, по отношению к инсталляциям. Качественно переведен на русский, всего поддерживает 11 языков.

All In One WP Security & Firewall позволяет управлять входом в админ панель сайта – количеством попыток, таймаутом, блокировкой, белым списком айпи адресов. Есть возможность блокировать конкретные IP, юзер-агенты (User-Agent) как в файле robots.txt.

В отличие от большинства плагинов безопасности, этот позволяет работать с базой данных. Есть возможность настроить автоматический бэкап, который будет отправляться на указанный e-mail. Можно задать собственный префикс имен БД. Это затруднит взлом сайта через базы данных.

Касательно файлов ресурса, через плагин можно:

  • Установить разрешение в формате 0755, 0644 и т.д.;
  • Запретить редактирование файлов из админки;
  • Запретить доступ к информационным файлам Вордпресс;
  • Смотреть логи изменений.

У файрволла плагина много полезных настроек. Некоторые из них непонятны простым пользователям, но в подсказках все хорошо разъяснено. От брутфорс атак (методом перебора логина и пароля) можно защититься следующими методами:

  1. Изменить URL страницы входа в панель администратора;
  2. Установить капчу;
  3. Создать белый список IP адресов, кроме которых никто не сможет войти в систему;
  4. Сгенерировать в браузере файл куки, с помощью которого можно будет залогиниться;
  5. Создать скрытое поле для роботов, не видное пользователям людям.

Для защиты от спама в комментариях используется можно использовать CAPTCHA и блокировку ботов. Есть специальные настройки для BuddyPress и BBPress – можно установить капчу.

У плагина защиты сайта All In One WP Security & Firewall есть два автоматических сканера. Первый отслеживает изменения в файлах системы. Второй ищет вредоносный код. К сожалению, его нужно подключать отдельно, он платный. Есть три варианта услуги, их стоимость:

  • 9,95$/месяц;
  • 49,95$/год;
  • 18,95$/месяц.

В качестве дополнительных опций можно запретить:

  • Использование правой кнопки мыши для показа меню;
  • Показ содержимого сайта через iframe;
  • Заблокировать доступ к WordPress REST API;
  • Запретить показ пользователей через URL с запросом /?author=.

По моему мнению, плагин отличный и недооценен. В нем нет сложных настроек для продвинутых пользователей и администраторов. Но функционала бесплатной версии достаточно для защиты от атак среднего уровня.

В этой статье я описал плюсы и минусы семи лучших плагинов защиты сайта на WordPress. Надеюсь, она была вам полезной. Напишите в комментариях, какими плагинами безопасности пользуетесь вы. Не забудьте поделиться публикацией с друзьями!

Полезные ссылки

Дешевый виртуальный, VPS и VDS хостинг. Цена от 1.7 $ в месяц. Есть тестовый период. Этот сайт размещен на нем – СМОТРЕТЬ ТАРИФЫ .

Отличная CPA платформа для заработка на своем сайте, email рассылках, группах и пабликах в соцсетях – ССЫЛКА НА ПЛАТФОРМУ .

Проверка конкуренции фразы в Яндекс, парсинг ключей из Wordstat, анализ домена, страниц, ключевой фразы, кластеризация. – ПОСМОТРЕТЬ СЕРВИС .

Рекламная сеть push рассылок с самыми выгодными и удобными условиями. Прием любых сайтов, частые выплаты без задержек. – ССЫЛКА НА СЕТЬ .

Парсинг ключей из Wordstat («W», «!W», «[!W]», [!W]), сравнение ТОП Яндекса, анализ ТОП-30, парсинг подсказок, выгрузка в excel, KeyCollector – ПОДРОБНЕЕ ТУТ .

Крутая биржа копирайтинга. Много готовых SEO-оптимизированных статей для вебмастеров. Возможность заработать для копирайтеров – ПОСЕТИТЬ БИРЖУ .

Источник: http://wordpresseo.club/luchshie-plaginy-zashhity-sajta-wordpress/

Безопасность PBN — как защитить сайты и серверы от взлома

Недавно мы писали о том, как продвигать сайты с помощью PBN . Рассказывали также, как отслеживать работу сетки сайтов . Напомню, это непросто и обязательно нужна команда, готовая поддерживать жизнь PBN. Если у вас есть такие специалисты, за созданием сетки обращайтесь в агентство Netpeak. А сейчас расскажу, как обезопасить PBN от взлома.

Итак, вебмастер сетки сайтов обычно контролирует защиту сервера и защиту сайта.

Защита сервера

Если ваш метод хостинга — выделенный сервер, его нужно по максимуму обезопасить от атак и взломов. Для этого следуйте таким требованиям:

  1. Не используйте панель управления. Панели управления серверами — одна из причин несанкционированного доступа к сайтам. Казалось бы, такие популярные платные панели как ISP Manager, cPanel регулярно обновляются, но при этом они же считаются самыми уязвимыми. Исходя из этого, при построении PBN (и не только), рекомендуется вовсе не использовать панели управления серверами. Нужно работать с «чистым» сервером, но при этом необходимы навыки администрирования.
  2. Закрывайтесь от ботов. Ещё одно слабое место сервера — массовые атаки ботами. Чтобы снизить нагрузку и обезопасить сервер, в его конфигурациях нужно блокировать нежелательных ботов. Как: составить свой список ботов и заблокировать их или использовать уже готовые. Например, для Apache или NGINX.
  3. Используйте CDN сервисы. CDN (Content Delivery Network) — дословно «доставка контента в сети». Главная задача CDN сервисов заключается не только в ускоренном времени ответа пользователю за счет распределения серверов по всему миру. Также это защита от различных атак и скрытие реального IP-адреса, который будет изменятся в зависимости от геолокации пользователя. Существует множество CDN сервисов, но наиболее популярные в этой отрасли: CloudFlare, Incapsula и Amazon CloudFront. Они преимущественно платные (с оплатой за трафик), но есть и бесплатные тарифы с определенными ограничениями. Использование таких сервисов решает следующие задачи: скрывает реальный IP-сайта; блокирует DoS-атаки и подозрительные запросы; фильтрует на свой стороне нежелательных ботов.

Защита сайта

Так как при построении PBN преимущественно используется CMS WordPress, рассмотрим защиту сайта не ее примере.

Защита административной панели

У большинства сайтов на WordPress так называемая «админка» находится на стандартном URL. И это распространенная причина для брутфорса (подбора логина и пароля). Поэтому рекомендуется переносить «админку» на нестандартный URL. Подробно о том, как это сделать можно узнать из статьи или посмотреть видео:

Установка капчи

Капча (Captcha: Completely Automated Public Turing test to tell Computers and Humans Apart — полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей) — компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером.

Важно: категорически нельзя оставлять логин пользователя «admin».

Особенно полезной установка капчи будет, если вы все же не собираетесь скрывать стандартный URL административной панели. Благо для WordPress существует масса плагинов, которые решают эту проблему. Например, можно задействовать проверенный плагин Captcha Booster. Особенность плагина — он не использует API reCaptcha от Google (как большинство других плагинов), что в случае с PBN нежелательно.

Отключение XMLRPC

XMLRPC (eXtensible Markup Language Remote Procedure Call — XML-вызов удалённых процедур) — стандарт/протокол вызова удалённых процедур, использующий XML для кодирования своих сообщений и HTTP в качестве транспортного механизма. Если не планируете пользоваться удаленным управлением сайта, обязательно отключайте XMLRPC, это одно из уязвимых мест CMS WordPress. Можно его отключить как плагином, так и банальным удалением файла xmlrpc.php. Более подробно о том, зачем и как это делается можно узнать в статье на techbear.

Кэширование

Если не планируете пользоваться CDN сервисами, стоит настроить кэширование. Это позволит снизить нагрузку на сервер и повысить безопасность, ведь контент будет подгружаться в виде статических страниц без постоянного выполнения кода. Более подробно о типах и преимуществах кэширования читайте в блоге Serpstat. В случае с WordPress, масса плагинов, которые на основе контента вашего сайта будут генерировать и выдавать в виде статических страниц. Наиболее популярными плагинами считаются WP Super Cache, WP Fastest Cache и W3 Total Cache.

Если вам все это кажется сложным, нет желания и возможности разбираться, можете оставить заявку на услугу построения PBN сети в агентстве Netpeak.

Источник: http://netpeak.net/ru/blog/bezopasnost-pbn-kak-zashchitit-sayty-i-servery-ot-vzloma/

Далее  Как защитить почту Google двойной авторизацией