Разработка лидирующих и эксклюзивных WEB-приложений на чистом коде(HTML,CSS,JS,PHP). Гарантия высокого качества!

» Статьи» Безопасность сайта

Безопасность сайта

Во все времена существования сайтов, большие и успешные игроки интернет-бизнеса есть те люди, сайты которых защищены от взломов и передачи информации третим лацам. Об этом в интернете написано множество статей с советами о безопасности сайтов. Но, к сожалению, придерживаясь других рекомендаций, Вы не обезопасите свой сайт даже на 30%. Поэтому я решил написать эту статью, цель которой дать все полные рекомендации, о которых не знают большенство, для безопасности Ваших интернет-ресурсов на все 100%!

Не буду томить Вас вступительными лекциями, а сразу начну расписывать шаги, которые необходимо придерживаться всем, кто хочет обезопасить и удержать свои сайты от взломов и передачи информации в службы безопасности.

  • Доступ к настройкам домена. При регистрации домена, Вы указываете свои личные данные и привязываете его к своему хостингу (серверу). Имея доступ к настройкам Вашего домена, его можно спокойно забрать и привязать к другому сайту и будет обидно, если Ваш домен очень известный, а его забрали нехорошие люди. Поскольку Вы указали свои паспортные данные, они станут известны нежелалельной личности.
  • Если атакуемый хакерами сайт написан на чистом коде качественно, то их толкает на крайние меры - это взлом хостинга (сервера), а точнее подбор пароля в панель хостинга. Сайт - это файлы с программным кодом, которые хранятся на сервере и обрабатываются при запросе клиента (браузера), для получения конкретной страницы. В этой ситуации безопасность сервера очень важна. Здесь есть риски взлома, через некачественных по коду сайтов-соседов, которые можно очень легко взломать и навредить Вашому ресурсу. На многих хостингах, VPN (панель управления) не защищена 2-х уровневой авторизацией. К примеру, подтверждение входа, после ввода правильного логина и пароля через почту, или СМС. Для полной безопасности можно собрать свой сервер, установив на него ОС Unix. После этого взлом сервера осуществить не реально из-за отсуствие VPN (панели управления) и некачественных сайтов-соседов, собранных на готовых CMS, Framework.
  • Настройки Apache и PHP. Обязательно нужно настроить апачь и отключить лишние модули в PHP. Для этого нужно открыть файл конфигурации апачь и php, читая документацию настраивать максимально безопасно. Здесь не буду описывать конкретные действия, т.к. под каждый проект это делается индивидуально.
  • Отказаться от CMS-систем, фреймворков, платформ, библиотек. Эти все готовые решения имеют очень низкий уровень безопасности, за счет некачественного кода, множество "дыр" для взломов и ШЛАКА. В 95% случаев, массовые взломы происходят через эти все готовые решения, взлом которых после 2016 года вырос более, чем на 40%. Поэтому, программисты пишут чистый и качественный код, который не распространяется, и работает в 180-500 раз быстрее, при этом имеет почти нулевую нагрузку на железо сервера, что так же снижает вероятность взломов и отказа работы сайта при очень массовых DDS-атаках на 100%.
  • Придерживаться индивидуальной архитектуры проекта, индивидуальное написание / создание/ разработка сайтов на чистом коде (HTML, CSS, JS, PHP), с минимальным обьемом кода и отсуствием лишний действий. Не рекомендуется использовать любые готовые СУБД (базы данных), в часности MySQL, данные которых передаются в службы безопасности, хакерам и третим лицам. Об этом была написана статья на моём сайте "недостатки MySQL".
  • Защита от подбора паролей. Если обратить внимание, то можно заметить, что сайты банков после авторизации, требуют ввести код, присланный по СМС. Поэтому рекомендуется написать авторизацию в несколько уровней, с подтверждением через почту, или СМС с ограничением по времени. Так же желательно написать скрипт, предотвращающий наглые "стучания" и блокировать недоброжелателя на сутки.
  • Делать регулярно копии сайтов и хранить у себя на флэшке и не выкладывать на GitHub, т.к. данный сервис пренадлежит США. Этот "сыр" уже проплачен, поэтому предоставляет возможность желающим хранить там архивы своих проектов совершенно бесплатно.
  • Отказаться от админ-зоны Админ-зона в CMS, Framework взламывается с вероятностью 100%, поскольку не защищена несколько-уровневой авторизацией. Сайты на чистом коде защищены в несколько уровней. Программисты на чистом коде написали приложение под Windows, которое можно держать на флэшке и через него редактировать сайт, без присутствия админ-панели на хостинге, что сильно разгружает сервер и увеличиват безопасность сайта.
  • Не использовать сесии. Чуть ли ни каждый разработчик по своему незнанию использует сесии, не подозревая, какое это зло и как может этим восспользоваться хакер. Сессии широко используют в популярных задачах, например: регистрация, каптча, голосования и многие другие. Файлы сессий хранятся на сервере в одной папке и хакеру / злоумышленнику наплодить их, имитируя реальных пользователей, используя сокеты, платные сервисы покупки заданий очень легко. Чтобы открыть компьютеру конкретный файл в нужной папке нужно получить список файлов и папок, потом сравнивая каждый найти нужный файл, или папку. На это требуется время, ОЗУ, в которой будет хранится список файлов и если сессий много - сервер ляжет и сайт перестанет отвечать на запросы пользователей. Сколько сессий нужно наплодить? от 2 000 достаточно! Используя сесиии - вы подставляете проект под большой риск!

Придерживайтесь этих рекоментаций и Вы обезопасите взлом сайта на 100%. Не стоит слушать людей, использующих CMS-системы, фреймворки и выдающих себя за программистов. Это системы управление содержимым. Они не для программистов, а для обычных людей, которые не знают программирование, поэтому эти бесплатные решения - для 99% веб-студий лидеры. Программисты - они и архитекторы работающие напрямую с кодом, с серверами и железом, строго придерживаясь стандартов программирования. Не одобряют 99% веб-студий, поскольку они подставляют заказчиков под массовые угрозы взлома, делая им сайты на готовых программных продуктах!

Так же хочу предупредить о том, что любой взлом, или попытка - противозаконные действия. Многие хакеры остаются безнаказанными, но если они кого-то достают - веселое лицо хакера превращается в грусную тыкву ;). Из-за лени большенства владельцев взломаных сайтов, создается ложное впечетление, что это ненаказуемо, но уверяю Вас в обратном!

А вот изучать, как мыслят и действуют хакеры - не можно, а нужно! Поэтому лучше семь раз подумайте, чем совершить действия, которые станут интерестны кибер-полиции.