Рейтинг@Mail.ru

Joomla: Заблуждения о безопасности

: в разделе: Open Source
7945

joomla-templates

Естественно, ни один из владельцев собственного сайта или иного ресурса не желает обнаружить его взломанным. Но просто жить и бояться - это не выход, благоразумнее принимать какие-нибудь меры для повышения безопасности. Конечно, предусмотреть абсолютно все невозможно, но избежать распространенных ошибок - вполне осуществимо.

Надежды на масштаб

Для хакеров представляют интерес не только сайты крупных организаций и Интернет-магазины. Даже если это небольшой ресурс и там мало посетителей - все представленное в сети является потенциальной мишенью для взлома. Целесообразность в несанкционированном доступе есть всегда, подтверждением этому является множество вариантов дальнейших действий взломщика: размещение на главной странице политического лозунга или другой нужной картинки, воровство персональных данных пользователей (не только паролей, но и номеров кредиток), «заражение» ресурса и т.д. Под «заразой» применительно к сайтам понимается их дальнейшее использование для распространения вирусов, фальшивок (т.н. троянских коней), спама (мусора, рекламного и не только), а также для DDOS-атак (массовых обращений взломанных электронных устройств на целевой адрес по общей команде).

Опасение обновлений

Если все работает без сбоев уже некоторое время, при появлении очередной версии прежнего программного обеспечения (ПО) собственники сайтов не спешат с обновлениями. Причины могут быть разные - не только боязнь что-нибудь испортить, но и коррекции самого ПО при улучшениях функционирования сайта, др. Однако не обновлять - еще опаснее, т.к. возрастает риск столкнуться с современными автоматическими взламывающими скриптами. Тем более, что все виды ПО при отладке постепенно избавляются от ошибок, новые версии совершеннее предыдущих и удобнее в инсталляции - например, CMS Joomla 2.5 (и все последующие) устанавливается буквально в один клик мыши, а разнообразные расширения обновляются прямо в панели управления.


Происхождение ПО

Скачав и установив бесплатную программу или приложение с другого ресурса, владелец сайта рискует столкнуться с подделкой или с зараженной версией. На файлообменниках нередко добавляют к контенту спам-рассылки или вредоносные скрипты, что может ухудшить работу сайта или даже облегчить взлом. Тестировать бесплатную версию можно лишь в одном случае - если она тоже взята напрямую от официальных разработчиков. Конечно, платный софт не гарантирует отсутствие проблем, но хотя бы сводит риски к минимуму.

Лишние бэкапы

Казалось бы, незачем самому регулярно возиться с бэкапами, когда это систематически делает провайдер. Но ведь сам по себе бэкап лишь тогда может считаться надежным, когда он протестирован - в данном случае, инсталлирован на локальном сервере. Вряд ли кто-то из владельцев сетевых ресурсов тестирует бэкапы от провайдера. Но если все-таки понадобившийся бэкап окажется слишком старым или нерабочим из-за ошибок, помочь горю будет нечем - только все заново делать. Менее вероятно, но тоже возможно банкротство хостинга. А вот действительно существующая опасность - если на каком-то из ресурсов этого же хостинга окажется запрещенный контент, следствием чего может стать изъятие всех данных правоохранительными органами, т.е. фактическая блокировка работы злополучного хостинга и всех сайтов на нем. При наличии собственного бэкапа в таком случае можно будет оперативно восстановить работу своего ресурса на другом хостинге.


Погоня за дешевизной

Пытаясь найти щедрого хостинг-провайдера, владельцы сетевых ресурсов нередко забывают о функциональности. Мизерный тариф не заменяет безопасность и качество услуг. Стоит обратить внимание на репутацию выбранного провайдера, выяснить побольше о его ответственности. И проверить функциональность тоже не помешает - к примеру, наличие возможности обновить Joomla (и не только) прямо из административной панели.

Установить всего побольше, а там видно будет

Удобно дополняемый функционал так и соблазняет установить сразу все, что только может понадобиться. Но чем больше расширений - тем сложнее обеспечить безопасность ресурса, не говоря уже о хлопотах с обновлениями. Поэтому постоянно действовать должно лишь нужное ПО - и всевозможных приложений это правило касается в первую очередь. Что понадобится в перспективе - лучше поставить, когда понадобится, а не заранее: к тому времени ПО могут усовершенствовать или планы поменяются. Ставшие ненужными расширения также целесообразно удалять (с предварительным бэкапом, естественно).

Вроде нужное, стоит взять

Не следует делать подопытным кроликом собственный сайт, особенно если важна его бесперебойная работа. Если какой-то плагин кажется полезным, целесообразно сначала потестировать его на сайте-дублере, установив тот на локальный сервер. Не помешает и отдать предпочтение аналогичному ПО от солидной компании-разработчика - есть основания ожидать более высокого уровня исполнения и ответственности. Особенно это касается тех случаев, когда владелец веб-ресурса не уверен заранее, что выбранное расширение действительно ему подходит, а выяснится это уже после установки.

Заигрывания с разрешениями 777 и 755

Если инсталляция расширений (и загрузка картинок) возможна лишь в разрешении 777, то следует подумать о смене хостинг-провайдера. Даже временное использование разрешения 777 небезопасно, а о переделке его на 755 можно и забыть нечаянно. В любом случае - если провайдер настолько никудышный, то лишь очень низкая необходимость в конкретном сетевом ресурсе может оправдать подобный риск.

Неосторожное хранение паролей

Вряд ли кому-то нужно объяснять, почему для разных сетевых ресурсов следует применять неодинаковые пароли. Но их мало придумать и использовать (желательно и менять регулярно) - надо еще и хранить ответственно! Крайне опрометчиво ради своего удобства сохранять пароль в браузере (и на FTP-клиенте тоже) - соответствующий файл конфигурации хранит эту информацию в незашифрованном виде, обычным текстом. Именно этот файл давно известный вирус отправляет хакерам, которые без труда копируют готовый пароль и быстро взламывают сайт. Поэтому пароли лучше не хранить в электронном виде вовсе - даже если носитель не подключен к Интернету, зараза может попасть туда с другого гаджета. Допустимый относительно безопасный вариант - хранение паролей в зашифрованном виде.

Беспечность

Даже приняв во внимание все вышеперечисленные рекомендации, не стоит считать, что все возможное сделано. Совершенствование вредоносного ПО и защиты от него идет постоянно, однако еще опаснее обычная беспечность владельцев сетевых ресурсов (или неосведомленность). Так, нередко пароли и другие важные сведения передаются по незащищенным каналам - Wi-Fi, http, FTP, e-mail и др. У всех этих трафиков шифровка потока данных отсутствует, поэтому информация транслируется в виде обыкновенного текста. Это удобно для общения, но небезопасно для передачи любых важных сведений. Первоочередное уязвимое место - возможность отслеживания всего трафика любыми подключенными к этой же сети устройствами (пользователями), т.е. кто угодно может отслеживать переписку.

Аналогично уязвима форма входа Joomla.

Если пароль или еще что-то важное можно передать лишь дистанционно, то для этого существуют т.н. безопасные протоколы - HTTPS, SFTP, TLS (для e-mail), SSH. А обычный сетевой трафик не умолчанию не шифруется совсем, любые сведения в нем могут быть кем-то перехвачены.

0

Оставить комментарий

Гость Суббота, 11 Июль 2020