Бэкапы
Люди делятся на две категории: те, кто уже делает бэкапы, и те, кто пока не делает. Это отнимает время, но для любой платформы можно настроить автоматический бэкап раз в неделю, а то и чаще. Чем больше обновляется сайт — тем чаще нужно делать резервные копии.
Самые ответственные вебмастера регулярно держат бэкапы в DropBox'е, рассылают архивы себе на почту и даже записывают их на DVD.
Даже если ваш провайдер объявляет себя самым надежным в мире и дает всевозможные гарантии, отказываться от бэкапов не стоит. Так, в апреле 2010 года дата-центр «Оверсан-Меркурий» отключил сервера хостившейся у них компании «Макхост», что привело к отключению 30 000 сайтов. Тогда ситуацию удалось выправить, и в итоге крупных убытков не понесли ни хостинг, ни его клиенты. Однако, это был тревожный знак, что даже сайты, которые хостятся у одного из крупнейших провайдеров России, не могут чувствовать себя в безопасности и должны всегда иметь актуальные резервные данные.
Защита электронных денег
Прибыль с большинства видов заработка вебмастер получает электронными деньгами. Если из вашего электронного кошелька исчезнет значительная сумма, можно очень долго писать в саппорт и приводить доказательства вашей непричастности — но это вряд ли поможет. Поэтому уже заработанные деньги стоит хранить с особой бережностью.
Поэтому не пренебрегайте стандартными средствами защиты WM:
- подтверждение транзакций через sms;
- регулярное обновление версии ПО;
- блокировка по IP.
- Не храните файл ключей на компьютере.
- При возможности используйте для WebMoney Keeper Classic отдельный компьютер.
- Не оставляйте WebMoney Keeper открытым без необходимости.
- Регулярно проверяйте компьютер на вирусы и трояны.
- Не указывайте свои реквизиты при небезопасном соединении.
Важность хорошего хостинга
Некоторые не очень добросовестные хостинги при покупке домена регистрируют его на себя (якобы, для простоты). В результате по факту пользователь не является хозяином своего доменного имени, и, если хостинг решит присвоить сайт себе, доказать что-то кому-то будет практически невозможно. Для него это будет железным аргументом, если вы будете не вовремя продлевать регистрацию или захотите сменить хостинг. Поэтому обязательно отбивайте у хостинга свое доменное имя.
Пример того, чем может закончиться переписка с хостингом, если сразу правильно не оформить домен на себя.
HTML- и JS-код в комментариях
Еще одна возможность для взлома возникает в случае, если оставить в настройках CMS возможность внедрения в комментарии работающих фрагментов кода HTML или JavaScript. Например, в CMS DLE эта опция по умолчанию активирована.
Наиболее распространенным вирусом такого рода является iframe-вирус. Состоит из нескольких строчек кода вида <iframe>...</iframe>. Все, что он делает, это ворует пароли из вашего ftp-клиента. Располагаться может в любом из файлов, чаще всего — сразу во многих.
Что делать, если сайт был заражен?
- Меняем пароль в панели управления хостингом.
- Удаляем пароль, сохраненный в ftp-клиенте. Меняем пароль и отныне вводим пароль вручную.
- Заходим на ftp, сортируем все файлы по дате последнего изменения. Зараженными скорее всего будут файлы, измененные последними, и даты последнего изменения будет совпадать или близки друг к другу.
- Особое внимание уделяем файлам index.php, index.html и файлам *.js, а также участки кода со счетчиками и рекламными блоками.
- Смело удаляем все подозрительные участки, а также простыни вида “NTNEQUQ5KSsxO31pZigkUjMwQzE0OTZEMD”.
Вредоносный код — не такая уж редкая проблема. Поэтому в инструментарии для вебмастеров в Яндексе и Google есть утилита для проверки сайта на наличие червей, эксплоитов, подозрительные java-скрипты и тому подобного. При наличии таких участков эти сервисы прямо укажут вам строчку кода, в которой может содержаться нечто вредное. Подобно обычным антивирусам, их базы регулярно обновляются.
Наиболее надежными в плане безопасности считаются сайты, написанные с использованием Python и Ruby on Rails, так как в них у программиста изначально не так много шансов оставить дыру в коде. Если вы работаете с PHP, обязательно ознакомьтесь с основными правилами безопасного программирования.
Пример внедрения не особо вредоносного кода в комментарии:
В одной из давних версий движка LiveJournal была дыра, благодаря которой можно было оставить в комментарии кусочек кода, и весь экран заполнялся каким-то повторяющимся изображением. Стоит ли говорить, что, как только это стало известно, на самые популярные журналы тут же набежала орда троллей и начала захламлять все посты непристойными картинками. Сейчас этот баг исправлен.
|