Как защитить себя работая в интернете

Пароли

Самые простые вещи зачастую самые важные. Надежные пароли от панели управления хостингом, ftp-сервера и почты, на которую зарегистрирован домен — первая и самая главная линия вашей защиты. Если хотя бы один из этих паролей будет взломан, ваш сайт и весь заработок с него будут под серьезной угрозой.

Элементарные правила использования паролей
- Никогда не храните пароли в текстовом файле или в письмах на своем почтовом ящике.
- Не сохраняйте пароли в браузере или ftp-клиенте.
- Пароли должны быть длинными и сложными. Да, их нужно помнить, и да, их потом долго вводить.
- Регулярно меняйте пароли. Для ftp сайта и почты, на которую он зарегистрирован — раз в месяц.
- Проведите аудит своих паролей при помощи программы Windows Password Analyser или подобного сервиса.


Не так давно, после взлома сети PSN, в сети появился торрент-файл с длинным списком паролей пользователей сервисов Sony. Как оказалось, культура использования паролей у большинства пользователей не то что ужасна, а отсутствует напрочь.

Вот лишь некоторые результаты:
- Менее 1% паролей содержат не буквенные и не числовые символы.
- Всего 4% паролей состояли из 3-х и более типов символов (имеются в виду прописные, строчные буквы, цифры и прочие символы).
- 93% паролей имеют длину от 6 до 8. Примерно такую минимальную длину требует большинство сайтов, и мало кто стремится выходить далеко за этим пределы.
- Почти половина всех паролей состоит только из букв нижнего регистра.
- Если пользователь зарегистрирован сразу в нескольких службах, в 92-х процентах случаев он использует везде один и тот же пароль.

Чем сложнее пароль — тем больше машинного времени требуется на его подбор, а мощности компьютеров растут с каждым днем. То есть реального времени на взлом паролей требуется все меньше (конечно, только в случае брутфорса).

Так что самый главный совет по составлению пароля прост: «Пароль должен быть таким, чтобы вы сами могли запомнить его с большим трудом».

И не храните пароли на компьютере. Есть много бесплатных программ, позволяющих хранить все свои пароли в зашифрованном виде так, что вам придется помнить только один главный пароль, а взломать остальные будет практически невозможно. Попробуйте программы KeePass или Password Safe.

Бэкапы

Люди делятся на две категории: те, кто уже делает бэкапы, и те, кто пока не делает. Это отнимает время, но для любой платформы можно настроить автоматический бэкап раз в неделю, а то и чаще. Чем больше обновляется сайт — тем чаще нужно делать резервные копии.

Самые ответственные вебмастера регулярно держат бэкапы в DropBox'е, рассылают архивы себе на почту и даже записывают их на DVD.

Даже если ваш провайдер объявляет себя самым надежным в мире и дает всевозможные гарантии, отказываться от бэкапов не стоит. Так, в апреле 2010 года дата-центр «Оверсан-Меркурий» отключил сервера хостившейся у них компании «Макхост», что привело к отключению 30 000 сайтов. Тогда ситуацию удалось выправить, и в итоге крупных убытков не понесли ни хостинг, ни его клиенты. Однако, это был тревожный знак, что даже сайты, которые хостятся у одного из крупнейших провайдеров России, не могут чувствовать себя в безопасности и должны всегда иметь актуальные резервные данные.


Защита электронных денег
Прибыль с большинства видов заработка вебмастер получает электронными деньгами. Если из вашего электронного кошелька исчезнет значительная сумма, можно очень долго писать в саппорт и приводить доказательства вашей непричастности — но это вряд ли поможет. Поэтому уже заработанные деньги стоит хранить с особой бережностью.

Поэтому не пренебрегайте стандартными средствами защиты WM:
- подтверждение транзакций через sms;
- регулярное обновление версии ПО;
- блокировка по IP.

- Не храните файл ключей на компьютере.
- При возможности используйте для WebMoney Keeper Classic отдельный компьютер.
- Не оставляйте WebMoney Keeper открытым без необходимости.
- Регулярно проверяйте компьютер на вирусы и трояны.
- Не указывайте свои реквизиты при небезопасном соединении.

Важность хорошего хостинга

Некоторые не очень добросовестные хостинги при покупке домена регистрируют его на себя (якобы, для простоты). В результате по факту пользователь не является хозяином своего доменного имени, и, если хостинг решит присвоить сайт себе, доказать что-то кому-то будет практически невозможно. Для него это будет железным аргументом, если вы будете не вовремя продлевать регистрацию или захотите сменить хостинг. Поэтому обязательно отбивайте у хостинга свое доменное имя.

Пример того, чем может закончиться переписка с хостингом, если сразу правильно не оформить домен на себя.

HTML- и JS-код в комментариях

Еще одна возможность для взлома возникает в случае, если оставить в настройках CMS возможность внедрения в комментарии работающих фрагментов кода HTML или JavaScript. Например, в CMS DLE эта опция по умолчанию активирована.

Наиболее распространенным вирусом такого рода является iframe-вирус. Состоит из нескольких строчек кода вида <iframe>...</iframe>. Все, что он делает, это ворует пароли из вашего ftp-клиента. Располагаться может в любом из файлов, чаще всего — сразу во многих.

Что делать, если сайт был заражен?

- Меняем пароль в панели управления хостингом.
- Удаляем пароль, сохраненный в ftp-клиенте. Меняем пароль и отныне вводим пароль вручную.
- Заходим на ftp, сортируем все файлы по дате последнего изменения. Зараженными скорее всего будут файлы, измененные последними, и даты последнего изменения будет совпадать или близки друг к другу.
- Особое внимание уделяем файлам index.php, index.html и файлам *.js, а также участки кода со счетчиками и рекламными блоками.
- Смело удаляем все подозрительные участки, а также простыни вида “NTNEQUQ5KSsxO31pZigkUjMwQzE0OTZEMD”.

Вредоносный код — не такая уж редкая проблема. Поэтому в инструментарии для вебмастеров в Яндексе и Google есть утилита для проверки сайта на наличие червей, эксплоитов, подозрительные java-скрипты и тому подобного. При наличии таких участков эти сервисы прямо укажут вам строчку кода, в которой может содержаться нечто вредное. Подобно обычным антивирусам, их базы регулярно обновляются.

Наиболее надежными в плане безопасности считаются сайты, написанные с использованием Python и Ruby on Rails, так как в них у программиста изначально не так много шансов оставить дыру в коде. Если вы работаете с PHP, обязательно ознакомьтесь с основными правилами безопасного программирования.

Пример внедрения не особо вредоносного кода в комментарии:

В одной из давних версий движка LiveJournal была дыра, благодаря которой можно было оставить в комментарии кусочек кода, и весь экран заполнялся каким-то повторяющимся изображением. Стоит ли говорить, что, как только это стало известно, на самые популярные журналы тут же набежала орда троллей и начала захламлять все посты непристойными картинками. Сейчас этот баг исправлен.

Диверсификация рисков

В жизни случается всякое:
- любой сервис рискует заглохнуть и обанкротиться;
- может выйти закон, который сделает нелегальной вашу налаженную систему заработка;
- дата-центры тоже иногда горят, унося с собой на тот свет сотни сайтов без какой-либо возможности восстановления;
- Яндекс выпускает очередной апдейт — и ваш сайт падает в бездны выдачи, где его даже носитель маниакального синдрома не найдет.

Все это будет неприятным, но не смертельным, если у вас не один, а несколько видов заработка. Конечно, хотелось бы полностью посвятить себя делу, которое дает наибольшие барыши, но риск потерять все в одно мгновение может оказаться сильнее крупной прибыли из одного источника.

К сожалению, не всегда удается обойтись информационной безопасностью.

Комикс с xkcd.ru

Если вдруг что-то случится с вами?

Совершенно не хочется вас запугивать, но сами знаете — ситуации в жизни бывают разные, вплоть до кошмарных. Как только ваши проекты начнут приносить значительный доход, вам обязательно нужно найти человека, которому вы полностью доверяете, который сможет распорядиться выводом денег с ваших счетов на случай, если с вами что-то случится.

От неприятных ситуаций никто не застрахован, а наличие доверенного лица даст вам дополнительную уверенность, что ваши виртуальные деньги смогут принести вам же реальную помощь в случае, если вы — не дай бог, конечно — будете находиться в коме или другом нехорошем состоянии.

Хорошо, если это будет кто-то из родных или деловой партнер, с которым вы ведете свои проекты и про которого можно со стопроцентной уверенностью сказать, что он не сбежит с вашими деньгами.

Кто бы смог закончить этот выпуск рассылки лучше, чем Уинстон Черчилль? А он знал, что «За безопасность необходимо платить, а за ее отсутствие — расплачиваться»

[sartuon]

надо взять на заметку,ничего из этого не делаю, очень полезная статья.

[asd88]

Спасибо большое) благодаря ТС вылечил сайт от вируса...

[mordor]

надо одно сообщение

[vilenapron]

Спасибо, очень нужная статья. задумалась о многом, чего я не делаю

[Слива]

Спасибо очень полезные статьи

[jina]

Много нового узнала.

Цитата:

Вредоносный код — не такая уж редкая проблема. Поэтому в инструментарии для вебмастеров в Яндексе и Google есть утилита для проверки сайта на наличие червей, эксплоитов, подозрительные java-скрипты и тому подобног

А можете подсказать, что за утилита?

[skelet500]

Как бы ни защищались от вирусов, все равно какая нибудь зараза проникнет в комп. И поэтому следует периодически делать на ПК профилактику на предмет поиска и удаления вирусов с компьютера. Если опытные люди смогут это сделать самостоятельно, то простым юзерам нужно обратиться за помощью к спецам.