Эта статья является частью серии, созданной в сотрудничестве с SiteGround . Спасибо за поддержку партнеров, которые делают возможным использование SitePoint.
Администраторы веб-сайтов, особенно те, которые работают в небольших компаниях или организациях, у которых нет людей, преданных своей работе, а также крупные ИТ-специалисты и веб-специалисты, часто упускают из виду некоторые основные принципы безопасности веб-сайтов. Это может быть довольно опасно в современную эпоху не только направленного взлома, но и массовых скриптовых атак, проводимых против, казалось бы, бесконечного и случайного пула целей. Независимо от того, насколько мал и относительно не важен ваш сайт, он может стать целью. И неважно, являетесь ли вы тем, кто разработал сайт, или тем, кто им управляет, вы, возможно, не знакомы с некоторыми из этих основных советов по безопасности сайта.
Если вы сотрудник, которого попросили проконтролировать веб-сайт и читаете эту статью, некоторые соображения безопасности могут показаться сложными, но помните, что все, что вам нужно знать, вы можете узнать. Существует множество ресурсов (включая нашу собственную SitePoint Premium ), которые могут помочь вам в разработке и администрировании веб-сайтов. Надеюсь, что важный вывод из этой статьи для вас — потратить несколько минут и по-настоящему задуматься о безопасности своего сайта.
Безопасность пароля
Надежная защита паролем является одним из наиболее важных соображений безопасности вашего сайта. Как администратор, вы можете отвечать за множество важных паролей. Управление учетной записью хостинга, доступ по FTP, доступ по SSH, базы данных MySQL, панель управления вашего сайта, панель администратора WordPress и т. Д. Все они должны быть разными паролями (никогда не повторять пароль) и длинными. В этом отношении парольные фразы лучше, чем пароли. Сложность тоже помогает, но это должно быть что-то, что вы можете запомнить, или вы должны использовать менеджер паролей, чтобы помочь вам.
Уровни доступа пользователя
Еще одна вещь, которую следует учитывать, — это доступ администраторов к вашему сайту. Если вашей организации требуется более одного или двух пользователей для администрирования сайта, у вас должны быть отдельные учетные записи для таких вещей, как панели администратора. Эти пользователи также должны иметь разные уровни доступа. С точки зрения систем управления контентом, пользователи должны быть ограничены административными настройками веб-сайта, изменением контента других людей или управлением файлами, если они фактически не требуют таких разрешений.
Наличие уровней учетных записей пользователей и разделенных учетных записей поможет предотвратить случайное или злонамеренное повреждение вашего сайта, а использование отдельных учетных записей также поможет вам отслеживать и регистрировать тех, кто вносит конкретные изменения, на случай, если произойдет какая-либо гнусная деятельность (или пользователь взломан). Это также поможет удалить пользователей из организации, покинувших вашу компанию, — вы можете просто и легко деактивировать их учетную запись без необходимости сброса общих паролей, если их учетная запись является их собственной.
Резервные копии
Важность хорошего процесса резервного копирования не может быть переоценена. Работающая (то есть проверяющая время от времени!) Система резервного копирования предотвратит потерю данных в случае небрежных действий, неправильного кодирования, плохих действий, катастрофического отказа оборудования или стихийных бедствий. Даже для небольших информационных сайтов, которые не часто меняются, отсутствие резервной копии может стоить бизнесу тысячи на восстановление сайта.
Наш хостинг-партнер SiteGround решил эту проблему для всех своих клиентов, предоставив им бесплатную ежедневную резервную копию.
HTTPS
С учетом самых последних требований Google к сертификатам SSL сайты без HTTPS, которые принимают конфиденциальную информацию о пользователях, будут помечены браузерами как незащищенные, и, возможно, скоро все сайты без HTTPS будут помечены как таковые. Из-за этого практически каждый сайт нуждается в HTTPS , особенно те, которые были недавно разработаны. Вы будете защищать информацию своих пользователей, и если ваш сайт не принимает конфиденциальную информацию, вы все равно будете обеспечивать уверенность и спокойствие своим зрителям, а с такими кандидатами, как Let’s Encrypt , вы можете сделать это. бесплатно. А если вы используете виртуальный хостинг, многие хосты, такие как SiteGround, предлагают бесплатные сертификаты Let’s Encrypt прямо с панели управления, что значительно упрощает защиту вашего сайта.
Доступ к базе данных
В настоящее время базы данных необходимы для многих платформ веб-сайтов, включая большинство систем управления контентом и сайты с пользователями и бэкэндами. Однако базы данных также представляют угрозу безопасности. Если данные хранятся, теперь они уязвимы для доступа злоумышленников. Вы захотите рассмотреть безопасность ваших баз данных. У кого есть доступ к панелям управления вашего сайта или учетным записям SSH на вашем сервере, если они у вас есть, и защищены ли их учетные данные? Как насчет реальных баз данных? Имеют ли пользователи вашей базы данных соответствующие разрешения для своих собственных баз данных? Есть ли у них глобальные разрешения, которых у них быть не должно? Безопасны ли их пароли?
Кроме того, вы можете посмотреть, как осуществляется доступ к базам данных. В идеале вы можете заблокировать доступ к пользовательским интерфейсам, таким как phpMyAdmin, только к определенным IP-адресам или вообще запретить удаленный доступ к БД и вместо этого использовать командную строку через SSH или такие инструменты, как MySQL Workbench или Sequel Pro , ограничивая количество уязвимостей.
Мониторинг
Еще одна вещь, которую вы можете захотеть сделать, — настроить какой-либо сервис для мониторинга предупреждений на веб-сайте, для получения почти мгновенных уведомлений о простоях или оповещениях об использовании (таких как чрезмерное использование ОЗУ или ЦП). Если вы используете CMS, например WordPress или Drupal, вы также можете использовать плагины безопасности для получения предупреждений, связанных с безопасностью, попыток взлома и т. Д. Существует множество сервисов (таких как Uptime Robot или Pingdom ), чтобы предоставить вам эти виды предупреждений, начиная от бесплатных проверок и заканчивая платными пакетами услуг для получения подробного мониторинга и отчетов.
Думая о безопасности сайта
Это, конечно, всего лишь несколько напоминаний и советов. Самый важный совет — действительно изменить свое мышление. Подумайте об этом и многом другом. Учитывайте уязвимости в вашей организации и без нее. Учитывайте уровень доступа ваших пользователей. С точки зрения разработки, подумайте, как вы фильтруете и проверяете информацию, которая поступает непосредственно от пользователей сайта. Как вы удаляете учетные записи для сотрудников, которые покидают вашу компанию? Существуют ли общие учетные данные, которые необходимо проверить или изменить? Как насчет доступа по SSH, который может потребоваться отменить, или систем контроля версий?
Чем больше вы думаете об этих вещах, тем успешнее вы будете в безопасности своих активов. Надеюсь, эта статья хотя бы разбудила ваши мысли о безопасности веб-сайта, особенно если вы никогда не задумывались об этом раньше. Не стесняйтесь оставлять комментарии ниже, если у вас есть больше идей для новичков о безопасности или истории, чтобы рассказать!