Понедельник, 12.04.2021, 21:57
Приветствую Вас, Гость
Главная » 2015 » Ноябрь » 5 » Как помешать злоумышленникам разместить вредоносный код на своем сайте
20:55
Как помешать злоумышленникам разместить вредоносный код на своем сайте
Используйте надежное программное обеспечение.

• Загружайте дистрибутивы веб-приложений и расширения/плагины для CMS из проверенных источников.

• Регулярно обновляйте CMS и серверное ПО, следите за новостями об уязвимостях используемой CMS.

• Регулярно проводите аудит безопасности серверов.

• После установки CMS удаляйте установочные и отладочные скрипты.

2. Используйте сложные пароли от веб-серверного ПО (FTP, SSH, административные панели хостинга и CMS).

• Сложный пароль содержит не менее 11 символов и включает в себя буквы в разных регистрах, цифры, и специальные символы.

• Не используйте одинаковые пароли для доступа к разным сервисам.

• Даже самые надежные пароли рекомендуется менять раз в три месяца, чтобы обезопаситься от случайной утечки.

• Не сохраняйте важные пароли в веб-браузерах, файловых менеджерах, а также FTP-, SSH- и прочих клиентах.

3. В целях профилактики проверяйте файлы сайта с помощью антивирусной утилиты Manul, созданной при поддержке Яндекса.

4. Следите за безопасностью рабочих компьютеров.

На всех компьютерах, с которых ведется работа с сервером (машины вебмастера, администратора, контент-менеджера, менеджера по продажам и т.д.) должны быть установлены антивирусы с поддержкой регулярных обновлений. Также необходимо своевременно обновлять операционную систему и прикладные программы.

5. Контролируйте данные, вводимые пользователями.

• Фильтруйте HTML-разметку во вводимых пользователями данных, которые могут встраиваться в код страниц сайта.

• Получая данные от пользователя, проверяйте на сервере, допустим ли их размер, входят ли переданные значения в допустимые списки и интервалы.

• Никогда не вставляйте полученные от пользователей данные напрямую в вызовы eval(), SQL-запросы или в преобразование типов. Всегда проверяйте и очищайте полученную информацию от потенциально опасных элементов.

• Не оставляйте в рабочей версии кода параметры, введенные для отладки, эксперименты с новой или отключенной функциональностью.

• Используйте WAF (Web Application Firewall).

6. Контролируйте права доступа пользователей, в частности, предусмотрите защиту от межсайтовой подделки запросов (CSRF).

Ограничьте доступ к панелям администрирования CMS и БД (например, phpMyAdmin), а также:

• к резервным копиям кода;

• к конфигурационным файлам;

• к метаданным систем контроля версий (например, к каталогам .svn или .git).

7. По возможности скрывайте версии серверного ПО (CMS, веб-сервера, интерпретатора сценариев, СУБД).

8. Настраивайте файрволы и сетевую инфраструктуру так, чтобы были разрешены только соединения, необходимые для работы.

9. Старайтесь избежать кликджекинга. Простейшие проверки, предназначенные для этого:

• Вывод HTTP заголовка X-FRAME-OPTIONS SAMEORIGIN или X-FRAME-OPTIONS DENY.

• Javascript-конструкции вида
if (top.location != window.location) top.location = window.location
 или
top.location = 'http://example.com'

10. Рекомендуем хостингам регулярно проверять поддерживаемые сайты, с помощью Safe Browsing API Яндекса или API Яндекс.Вебмастера.

источник: https://yandex.ru/support/webmaster/security/protecting-site.xml#concept1
Категория: Школа WEB MASTERA | Просмотров: 387 | Добавил: Admin4638 | Теги: Как помешать злоумышленникам размес | Рейтинг: 0.0/0
Всего комментариев: 0
avatar