Создание и продвижение сайтов, интернет-магазинов
Онлайн заявка
+79041685225
МОТИВ - Ekaterinburg
+79022536226
TELE2 - Ekaterinburg
ru-center@seovmig.ru
Russia

Подробнее об защите сайта

Технологии защиты, которые мы обязательно внедряем при разработки сайта под ключ

Подробнее об защите сайта

1. Защита административной части управления сайтом.

1.1. Безопасность аккаунта Администратора.

Везде логин администратора присваивает стандартное имя пользователя «admin».

Многие хакеры пытаются воспользоваться этой информацией, применяя для нападения «Брутфорс-атаку», когда они систематично подбирают пароль, используя слово «admin» в качестве имени пользователя.

По соображениям безопасности, одна из первых и наиболее разумных защит сайта, которую мы внедряем, это уникальное имя пользователя, которое будете знать только Вы, и только вы сможете его изменить в любое время на любое другое удобное для Вас или в целях безопасности через определенный промежуток времени работы.

 

1.2. Защита отображаемого имени.

Когда Вы публикуете пост или отвечаете на комментарий, CMS обычно отображает Ваш «никнейм». По умолчанию отображаемое имя пользователя идентично логину аккаунта. Из соображений безопасности, этого допускать нельзя, так как это уже на половину облегчает хакеру работу — фактически, Вы сами сообщаете ему логин своего аккаунта.

Поэтому, чтобы усилить безопасность сайта, Ваш никнейм и отображаемое имя, будут отличатся от Вашего имени пользователя.

 

1.3. Проверка пароля.

Плохой пароль — это наиболее распространенная уязвимость на большинстве сайтов, и, как правило, первое, что будет делать хакер, чтобы проникнуть на сайт — попытается подобрать пароль.

Многие люди сами себе ставят ловушку, используя в качестве пароля простое слово или ряд цифр. На подбор такого предсказуемого пароля у опытного хакера уйдет всего несколько минут, так как для этого используются специальные программы с большими базами наиболее распространенных сочетаний букв, слов и цифр.

Чем длиннее и сложнее пароль, тем тяжелее будет хакеру его подобрать, потому что это требует гораздо больше вычислительных мощностей и времени.

В административной части сайта внедрен механизм проверки вашего пароля на надежность, если вдруг Вы решите заменить свой пароль через определенный промежуток времени в целях безопасности.

 

1.4. Блокировка автоматических процессов авторизации.

Один из распространенных способов, используемых хакерами для проникновения на сайт, является «Брутфорс-атака». Так называются многократные попытки входа методом подбора паролей.

Помимо выбора надежных паролей, мониторинга и блокирования IP-адресов, участвующих в повторных неудачных попытках входа в течение короткого периода времени, блокировка количества попыток авторизации и ограничение периода времени для таких попыток, является очень эффективным способом противодействия этим типам атак.

Мы дополнительно внедряем и настраиваем эти опции безопасности для защиты от такого типа атак (опции можно изменять самостоятельно в административной части управления безопасностью).

 

1.5. Автоматическая система разлогинивания пользователей.

Установка ограничения срока действия сессии администрирования — это простой способ защиты от несанкционированного доступа к Вашему сайту с Вашего компьютера.

Мы внедряем оптимальный период времени (время можно регулировать самостоятельно), после истечения которого сессия администратора истекает и пользователю надо будет авторизоваться заново.

 

1.6. Журнал активности аккаунта.

Приведенная информация в журнале может пригодиться, если Вы будете проводить исследование пользовательской активности, так как здесь будут показаны последние 50 событий авторизации с данными имени пользователя, IP-адресом и временем входа.

 

1.7. Активные сессии.

В разделе отображаются все пользователи, которые в настоящий момент авторизованы на Вашем сайте.

Если Вы подозреваете, что в системе есть активный пользователь, которого не должно быть, тогда Вы можете их заблокировать, проверив их адрес IP в списке внизу, и добавив их в черный список.

 

2. Защита базы данных.

2.1. Изменение префикса таблиц базы данных.

Ваша база данных — это наиболее ценная часть Вашего сайта, так как в ней находится весь контент и настройки.

База данных также является мишенью для хакеров, пытающихся получить контроль над определенными таблицами методом SQL-инъекций и внедрением вредоносного кода. Одним из способов усилить защиту от таких атак является уникальный префикс таблиц базы данных, который было бы тяжело угадать.

 

3. Файрволл (брандмауэр).

3.1. Внедрены основные функции брандмауэра.

  • Защитит файл htaccess от несанкционированного доступа.
  • Отключит сигнатуру сервера в ответах на запросы.
  • Ограничит лимит на размер загружаемых файлов до 10Мб.
  • Защитит Ваш конфигурационный файл CMS от несанкционированного доступа.

 

3.2. Защита XMLRPC.

  • Защита от перегрузок сервера запросами и тем самым сбить его (защита от DoS атаки).
  • Защита от взлома внутреннего маршрутизатора.
  • Защита от сканирования внутренних сетевых портов для получения информации от различных Хостов на сервере.

Такая усиленная защита сайта, позволит значительно снизить нагрузку на ваш сервер, особенно если ваш сайт получает много нежелательного трафика, направленного на XML-RPC API.

 

3.3. Защита от возможности просмотра директорий.

По умолчанию сервер Apache позволяет увидеть содержимое директорий, если в них нет файла index.php или index.html. Эта защита запрещает такую возможность.

 

3.4. Защита от HTTP-трассировки.

Атаки на основе HTTP-трассировки (межсайтовой трассировки, или XST), применяются, чтобы получить информацию из возвращаемых сервером http-заголовков и похитить куки и другую информацию.

Эта хакерская технология обычно применяется в сочетании с межсайтовым скриптингом (XSS).

 

3.5. Запрет писать комментария через прокси-сервера.

Защита отклонит любые запросы, использующие прокси-сервер при отправке комментариев.

Это усилит защиту от спама в комментариях и от других нежелательных прокси-запросов.

 

3.6. Защита от XSS-атак (Запрет на вредоносные строки в запросах).

Технология предназначена для защиты от ввода вредоносного кода при XSS-атаках.

 

3.7. Защита от XSS-атак (Дополнительная фильтрация символов).

Это дополнительная фильтрация символов для блокировки вредоносных команд, используемых в XSS-атаках (межсайтовый скриптинг).

Данная опция фиксирует распространенные образцы вредоносного кода и эксплойты и вернет хакеру сообщение об ошибке 403 (доступ запрещен).

 

3.8. Защита брандмауэра 5G и 6G.

  • Блокировка запрещенных символов, обычно используемых в хакерских атаках.
  • Блокировку вредоносных закодированных строк в URL, таких как «.css(» и т.п.
  • Защиту от распространенных шаблонов вредоносного кода и специфических эксплойтов (последовательностей команд, использующих известные уязвимости) в URL.
  • Блокировку запрещенных символов в параметрах запросов.

…и многое другое.

 

3.9. Блокировка ложных Googlebots.

Данная защита проверяет, содержит ли поле User Agent information строчку «Googlebot».

В таком случае, функция выполняет несколько тестов для того, чтобы убедится, действительно ли это — бот от Google. Если да, тогда позволяет боту работать дальше.

Если бот не выдержит этот тест, функция пометит его, как ложный Googlebot и блокирует его.

 

3.10. Защита от хотлинков на изображения.

Защита предотвратит использование изображений Вашего сайта на страницах чужих сайтов (хотлинкс).

 

4. Защита от брутфорс-атак.

4.1. Защита страницы авторизации администратора.

Защита работает на основе уникального адреса для входа в административную панель, которую можно также изменить в любое время без ограничений и только вы будете знать ссылку на вход в административную панель управления.

 

5. Защита от SPAM.

5.1. Блокировка спам-ботов от комментирования.

Данная защита создаст правило файрволла, который блокирует попытки записать комментарий, если запрос не пришел со страницы Вашего домена.

Честный комментарий всегда отправлен человеком, который заполняет форму комментирования и кликает на кнопку «Отправить». В таком случае, поле HTTP_REFERRER всегда имеет значение, которые ссылается на Ваш домен.

Комментарий от спам-бота отправляется сразу запросом на файл, это обычно означает, что поле HTTP_REFERRER может быть пустым, или ссылается на чужой домен.

Данная функция проверяет и блокирует комментарии, которые не пришли с Вашего домена. Это сильно снижает общее количество СПАМА и PHP-запросов на Вашем сервера при обработке спам-запросов.

 

5.2. 100% защита форм обратной связи.

В последнее время участились спам-письма с форм обратной связи и как бы их не усложняли, ставили бы капчу или ещё какие методы, спам всё равно проходит легко, а людям при этом сложнее становиться отправлять заявки с вашего сайта.

Потратив несколько недель на изучение проблем, мы разработали новую усиленную защиту для облегчения форм пользователя, но сложной для спам-роботов.

После нескольких месяцев исследований защиты, спам с сайта сократился на 100%, теперь можно с уверенностью сказать к Вам придёт именно заявка от человека, именно письмо покупателя и с вероятностью 0%, что это будет спамное письмо от робота.

 

6. Прочие возможности безопасности.

6.1. Возможность включить ручное одобрение регистрации на сайте (по умолчанию выключена).

6.2. Добавление формы «CAPTCHA» на странице регистрации (по умолчанию включена).

6.3. Добавить специальное скрытое поле «honeypot» на странице регистрации для защиты от регистрируемых ботов (по умолчанию включена).

6.4. Дополнительное специальное скрытое поле «honeypot» на странице авторизации администратора и пользователей для защиты от ботов (по умолчанию включена).

6.5. Отслеживание изменений в файлах (по умолчанию выключена).

6.6. Сканирование от вредоносных программ (ручное управление).

6.7. Защита Файловой системы (по умолчанию включена).

6.8. Защита от копирования. Блокирует функции «Правая кнопка», «Пометка текста» и «Копировать», на публичных страницах Вашего сайта (по умолчанию выключена).

6.9. iframe-защита. Защита позволяет предотвратить показ Вашего сайта и его содержания внутри frame или iframe на другом сайте (по умолчанию включена).

6.10. Бан по IP-адресам или юзер-агентам (по умолчанию выключена). Включение не требуется, так как внедрена дополнительная продвинутая защита в этом направление, но может быть использована администратором в любое время по необходимости ручного бана.

 

Технологии защиты постоянно совершенствуются и обновляются.

Остались вопросы?