- Зачем проверять свой сайт на безопасность?
- Чек-лист аудита безопасности сайта
- Изменить настройки CMS по умолчанию:
- Установите наиболее подходящие права на файлы
- Проверьте последние обновления программного обеспечения
- Используйте расширения безопасности для вашей CMS
- Если у вас установлены расширения / плагины, проверьте:
- Сделайте резервную копию ваших данных
- Следуйте рекомендациям по настройке файлов сервера
- Установите сертификат SSL
- Установите автоматическое сканирование вредоносных программ на вашем сайте
- Используйте уникальные пароли
- Убедитесь, что сайт не находится в черном списке
- Текущий Аудит
- Обновления
- Удаление
- Обзор
- Упрощенный контрольный список аудита безопасности веб-сайта
- Плагин Sucuri для безопасности WordPress
- Заключение
Зачем проверять свой сайт на безопасность?
Большинство взломов и кибератак происходит из-за плохих практик безопасности.
Вы сделали сайт, провели работы по СЕО и добавили его в Каталог сайтов.
Но что насчет безопасности ресурса?
Первый шаг, который вы можете предпринять, чтобы улучшить вашу онлайн-безопасность, это точно знать, что установлено на вашем сайте.
Наличие контрольного списка может помочь вам оставаться на вершине безопасности веб-сайта.
Чек-лист аудита безопасности сайта
Вот упрощенный шаблон контрольного списка безопасности веб-сайта, который вы можете использовать для аудита вашего ресурса.
Мы рекомендуем провести тщательный аудит, если вы делаете это впервые.
Изменить настройки CMS по умолчанию:
- Пользовательские настройки
- Настройки комментариев
- Общая видимость информации (например, отчеты об ошибках PHP могут раскрыть детали конфигурации)
Установите наиболее подходящие права на файлы
- Чтение, запись или выполнение
- Владелец, группа или публичный
Проверьте последние обновления программного обеспечения
- Убедитесь, что ваша CMS работает на последней доступной версии.
Используйте расширения безопасности для вашей CMS
- Например, для WordPress вы можете установить плагины безопасности веб-сайта, такие как Sucuri Free WordPress Security Plugin.
- Проверьте настройки плагина безопасности
Если у вас установлены расширения / плагины, проверьте:
- последнее обновление,
- возраст расширения,
- количество установок,
- и что ваши плагины взяты из законных и надежных источников (например, репозиторий плагинов WordPress).
Сделайте резервную копию ваших данных
- Имейте внешнюю резервную копию.
- Настройте автоматическое резервное копирование.
Имейте надежный план восстановления. Сохраните копию бэкапа во втором месте на случай, если с резервной копией что-то случится, и убедитесь, что вы можете восстановить свой сайт из резервной копии с минимальным временем простоя. - Проверьте целостность резервных копий, чтобы убедиться, что они не повреждены или иным образом непригодны для использования.
Следуйте рекомендациям по настройке файлов сервера
- Ознакомьтесь с файлами конфигурации веб-сервера – веб-серверы Apache используют файл .htaccess; Серверы Nginx используют nginx.con; Серверы Microsoft IIS используют web.config
- Запретите просмотр каталогов
- Запретите хотлинкинг изображений
- Защита конфиденциальных файлов
Установите сертификат SSL
- Убедитесь, что данные вашего сайта в момент передачи зашифрованы. Вы можете ознакомиться с этим пошаговым руководством по установке сертификата SSL.
- Настройте SSH (Secure Shell) протокол передачи файлов
Установите автоматическое сканирование вредоносных программ на вашем сайте
- Важно быть в курсе состояния безопасности вашего сайта.
Используйте уникальные пароли
- Убедитесь, что все пароли (FTP, CMS, База данных и т. д.) надежны.
Убедитесь, что сайт не находится в черном списке
- Некоторые сайты, такие как Google или McAfee SiteAdvisor, добавляют предупреждения на зараженные веб-страницы.
Текущий Аудит
После того, как вы один раз завершили тщательный аудит безопасности веб-сайта, вам все равно необходимо регулярно проверять некоторые элементы.
Мы рекомендуем проводить постоянный аудит как часть поддержания хорошего состояния безопасности веб-сайта.
Вот контрольный список того, что необходимо постоянно проверять:
Обновления
- Проверьте устаревшее или небезопасное программное обеспечение
- Пароли
Удаление
- Неактивные или неиспользуемые плагины
- Неактивные или небезопасные темы и расширения
Обзор
- Доступ пользователя и учетной записи – минимум привилегий
- Файловые права
- Настройки плагина безопасности
- Настройки резервного копирования
- SSL сертификат
- Изменения в файлах – мониторинг целостности
Если вы не знакомы с какими-либо пунктами, показанными в этом контрольном списке, вы можете начать с этого краткого 8-минутного прочтения:
? Советы по безопасности, чтобы защитить ваш сайт от хакеров
Упрощенный контрольный список аудита безопасности веб-сайта
Вы можете сохранить упрощенный контрольный список аудита безопасности сайта:
Плагин Sucuri для безопасности WordPress
Если ваш сайт использует WordPress, вы можете установить бесплатный плагин Sucuri Security для WordPress, который предлагает:
- Аудит безопасности
- Мониторинг целостности файлов
- Удаленное сканирование вредоносных программ
- Мониторинг черного списка
- Эффективное усиление безопасности
- Действия после взлома
- Уведомления о безопасности
- Брандмауэр веб-сайта (премиум)
Заключение
Хорошей новостью является то, что, поскольку вы продолжаете проверять свой веб-сайт на предмет безопасности, он становится более эффективным, и аудит будет занимать все меньше времени.
Самое главное, точно знать, что вы установили, и поддерживать свой веб-сайт в актуальном состоянии, снижает вероятность того, что злоумышленник получит доступ к вашим ресурсам.
Мониторинг веб-сайта является важной частью безопасности и не должен быть упущен.
Платформа мониторинга Sucuri сочетает в себе удаленный сканер и серверный сканер, чтобы вы могли иметь четкое представление о состоянии безопасности вашего веб-сайта.
Платформа безопасности веб-сайтов предлагает мониторинг, защиту и реагирование на веб-сайты в случае взлома и атак.
Злоумышленники всегда пытаются найти новую тактику и способы доступа.
Точно так же, как вы работаете над тем, чтобы поддерживать ваш сайт в чистоте и обновляться, важно также обновлять знания о безопасности вашего сайта.
Наконец, продолжайте читать сообщения в блогах, статьи, отчеты о последних новостях, касающихся вашей CMS или среды веб-сайта.