Защита сайта от взлома — насущная проблема каждого блогера или владельца собственного веб-ресурса. И если для обычного пользователя потеря части данных при взломе может оказаться не катастрофичной, для коммерческих сайтов такая неполадка может стоит слишком дорого.
Защита сайта от взлома предполагает принятие мер, осложняющих постороннее вмешательство или делающих его невозможным. В частности, предотвратить взлом могут следующие действия:
1) Установка сложного пароля
О том, что пароль доступа к сайту должен быть сложным, твердят с самого начала освоения веб-пространства. Однако и сегодня каждый второй пользователь устанавливает в качестве пароля дату своего рождения или номер телефона. А о периодической смене паролей и вовсе забывает две трети владельцев сайтов. И это при том, что именно подбор паролей является одним из самых простых способов получения доступа к любым закрытым данным — от админпанели сайта до управления банковским счетом.
Сложность пароля — понятие относительное. Простыми считаются пароли из цифр или букв, прописанных в одном регистре (без изменения на заглавные). Чуть более сложными — комбинированные — из цифр и букв, ещё сложнее — где буквы прописываются как в заглавном, так и в строчном вариантах, и перемежаются цифрами. Ну, и высший пилотаж — пароли,содержащие разнообразные символы, например, #; $; &. При этом длина пароля должна составлять от 8 и более символов.
2) Выбор площадки для сайта
Ненадёжность хостинг-провайдера может стать для сайта бомбой замедленного действия. Злоумышленник может взломать сервер, и получить доступ ко всем сайтам, работающим на его основе. Стоит ли говорить, что хостинг с такой репутацией лучше обходить стороной? Важно чтоб хостер предоставлял такие услуги как защита от ddos атак. Хостинг такого класа будет безопасен для вашего сайта.
Хуже всего дела обстоят у бесплатных хостеров. Их серверы хуже всего защищены от вредоносных атак. Но даже работа с проверенным провайдером не гарантирует полной безопасности. Поэтому не стоит пренебрегать мерами «личной» защиты сайта.
3) Антивирус
Хорошая антивирусная защита для сайта — залог его долгой и успешной работы. Проверку можно проводить с помощью стационарного ПО или онлайн — через сервис 2ip или его аналоги.
Стационарный антивирус позволит уберечь сайт и от кражи пользовательских паролей, позволит своевременно обнаружить и удалить троян или иную угрозу. Для сайтов на WordPress таким надёжным стражем может стать один из плагинов:
— AntiVirus
— Better WP Security
— Blocking Bed Queries
4) Ограничения и запреты
Для обеспечения безопасности сайта стоит уделить внимание и такому моменту, как установка запрета на публикацию в комментариях кодов HTML. Это позволит сделать невозможным размещение доступных для индексации ссылок и сделает невозможным внедрение вредоносного кода на сайт. Запрет можно распространить на публикацию кодов целиком или их отдельных фрагментов. Таким образом можно варьировать меры безопасности, устанавливая для своего сайта наиболее эффективную защиту.
5) Создание резервных копий
Для обеспечения безопасности сайта стоит настроить ваш выделенный сервер в автоматический режим создания копий на сервере (с помощью специального плагина, для WP это — WordPress Database Backup). Помимо этого, необходимо раз в две-три недели создавать резервные копии для хранения на внешних носителях. Такие копии создаются через FTP-протокол, с использованием специальных программ-менеджеров ( FileZilla и т.п.).
Стоит учесть, что работа в FTP-клиенте требует ввода пароля от хостинга. Не стоит делать авторизацию автоматической — лучше лишний раз произвести ввод данных вручную.
Наиболее популярной платформой для сайтов и блогов является WordPress. Для этого «движка» существуют дополнительные рекомендации по обеспечению безопасности:
— смена логина (по умолчанию он стандартный у всех — Admin). Логин можно изменить в панели управления, в разделе PHPmyAdmin;
— данные о версии WP. Удалить эту информацию и осложнить жизнь хакерам можно в папке (корневой), стерев файлы License.txt и Readme.txt;
— установка только надёжных дистрибутивов и плагинов, из проверенных источников, а лучше — с официальных сайтов;
— смена префикса таблиц в базах данных — заменить нужно стоящий по умолчанию «wp-» на два-три символа на своё усмотрение;
— ограничение числа попыток ввода пары логин/пароль;
— использование разных почтовых адресов для регистрации на хостинге и размещения в разделе контактов сайта;
— регулярное обновление ПО, включая движок и установленные плагины.
Мы можем рекомендовать хостинг компанию с 10 летним опытом работы как MACHOSTER — компания занимается помимо аренды виртуальных серверов — безопасностью и защитой от DDoS атак.