На днях на Official Google Webmaster Central Blog были опубликованы рекомендации по безопасности сайтов от Google. Ниже приводится свободный перевод этих рекомендаций.
В последние месяцы значительно выросло число сайтов, подвергшихся взлому/атаке. Основная задача взломщиков - внедрить в сайт какое-либо вредоносное программное обеспечение (эксплойт) и/или внедрение поискового спама с целью изменения выдачи поисковых систем. Вне зависимости от причин и целей взлома нижеприведенные советы пригодятся всем. Этот список безопасности не претендует на полноту, и, конечно же, может быть дополнен самостоятельно.
- Проверьте конфигурацию/настройки своего сервера. Если используется веб-сервер Apache, то советы по обеспечению его безопасности можно прочитать здесь, в случае использования серверов от Microsoft рекомендации по безопасности можно найти в tech center resources for IIS
- Следите за появлением всевозможных патчей и исправлений и своевременно обновляйте свои программы/скрипты/модули. Наиболее часто встречающийся источник опасности возникает, когда вебмастер установил на сервер скрипт какого-либо блога или форума (или еще чего-нибудь) и потом забыл о его существовании.
- Постоянно следите за вашими log files (логами) на сервере. Ежедневная проверка логов должна стать привычкой!
- Проверьте сайт на общие уязвимости. Не устанавливайте на сайт каталоги с открытыми разрешениями на добавление. Обязательно проверьте сайт на возможность межсайтового кросспостинга и SQL injection. Используйте длинные сложные пароли.
- Осторожно относитесь к скриптам сторонних поставщиков. Если вы планируете установить какой-либо скрипт, счетчик, код рекламной сети и другие, постарайтесь убедиться в безупречной репутации поставщика кода. Убедитесь, что данной службой успешно пользуются другие сайты
- Проверьте, как проиндексирован сайт. Убедиться в том, что все нормально, можно, просмотрев список проиндексированных гуглом страниц. Это можно сделать, используя команду site:our_domain_name
- Используйте Webmaster Tools. Использование данного сервиса позволит увидеть статус сайта, а также как бот (поисковый бот- паук) сканирует сайт. Кроме того, если бот обнаружит наличие всяких вредных программ/скриптов, вы сможете увидеть адреса "вредных" страниц (они будут исключены из индекса). После устранения "заразы" в том же сервисе можно написать запрос на повторное включение страниц в индекс
- Используйте безопасные протоколы. Используйте SSH- и SFTP-протоколы для передачи данных между локальным компьютером и сервером. Использование этих защищенных протоколов более безопасно, чем обычный telnet и FTP. Большое количество полезных советов по безопасности и использованию этих протоколов можно найти здесь
- Читайте Google Online Security Blog. Здесь можно найти огромное количество постоянно добавляемых советов по безопасности.
- Контактируйте с техподдержкой хостинговой компании. Если у вас возникают какие-то сомнения и подозрения в нарушении безопасности, обязательно обращайтесь в техподдержку.
