Участвуй в конкурсе сайтов
Получи профессиональную оценку сайта и
награду за дизайн, контент или технологичность

Как сделать сайт неубиваемым: 8 простых советов

3 комментария
Как сделать неубиваемый сайт

Все мы знакомы с хакерскими атаками, которые могут не только навредить репутации ресурса и его рейтингу в поисковой выдаче, но и полностью обезоружить сервер и сделать его недоступным для пользователей. Это негативно сказывается на бизнесе: падают доходы, теряются клиенты, а их данные подвергаются угрозе. Особенно это опасно для тех компаний, чье дело функционирует исключительно через веб-ресурс.

Чтобы быть спокойным за свой онлайн-бизнес, следует прокачать защиту сайта всеми возможными способами. Что это за способы – разберемся в сегодняшнем пошаговом руководстве.

Совет 1:  Используйте хороший логин и пароль

Если ваш сайт построен на основе какой-либо CMS, то в первую очередь следует закрыть все пути к административной панели. Ведь если злоумышленник попадет к вам в админку, то уже можно попрощаться с ресурсом.

Например, при установке WordPress система автоматически предлагает логин «admin». Используя этот логин, вы уже предоставляете половину необходимой информации для хакеров, и им остается только подобрать пароль.

Изменить логин всегда можно в панели управления: достаточно удалить старого пользователя, добавить нового и сделать его администратором.

Как в WordPress добавить нового пользователя

Как только будет создан новый администратор, появится возможность удалить пользователя под логином «admin».

Как в WordPress удалить пользователя

В случае с паролем важно также придерживаться «небанального хода». Пароли типа pass1243, 1u2y3o4p5, 00912a928ab и так далее – крайне ненадежны, однако их до сих пор используют.

Пример хорошего пароля: ouJsFG9q12. Вы можете сказать, что такой пароль крайне сложно запомнить, и это будет верно, но лучше такой, чем простой. Его можно сохранить в надежном месте и использовать при необходимости. Зато хакерам будет сложно его подобрать.

Совет 2: Обновляйте CMS

Рекомендую регулярно проводить обновление CMS, так как устаревшая версия платформы – это одна из «дыр», которую любят хакеры. На WordPress, например, узнать о поступившем обновлении можно прямо из административной панели:

Как узнать, что вышла новая версия WordPress

Совет 3: Используйте плагины и темы из надежных мест

Используете вы WordPress, Joomla или Drupal – не так важно. Всегда стоит загружать темы и плагины только из проверенных источников. Обычно это официальные интернет-магазины CMS – убедитесь, что находитесь именно на них, и только потом скачивайте то, что хотели.

Например, для Joomla используйте этот сервис, а для WordPress – этот.

Также стоит заметить, что стоит следить не только за обновлением CMS, но и за обновлениями расширений, так как их старые версии могут быть также подвержены угрозе.

На WordPress упоминание о доступных обновлениях можно найти в списке установленных плагинов:

Как проверить актуальность версии плагина в WordPress

Совет 4: Используйте SSL-соединение

Протокол SSL (от англ. Secure Sockets Layer – уровень защищенных сокетов) гарантирует безопасное соединение между браузером пользователя и сервером. При использовании SSL-протокола информация передается в закодированном виде по HTTPS, и расшифровать ее можно только с помощью специального ключа, в отличие от привычного протокола HTTP.

Простыми словами – используйте защищенное соединение HTTPS, и тогда ваш сайт будет крайне сложно взломать. В установке SSL-сертификата нет ничего сложного, особенно для тех, кто использует хостинг Timeweb. На нем установка протокола занимает всего несколько секунд – достаточно перейти в раздел «SSL-сертификаты» и нажать на кнопку «Заказать сертификат», в результате чего отобразится список доступных сертификатов для покупки.

 Как на Timeweb заказать подключение SSL-сертификата

Совет 5: Используйте двухфакторную аутентификацию учетных записей

Для усиления безопасности часто используется многофакторная аутентификация. Работает это следующим образом: после ввода пароля на сайте вам высылается запрос на одноразовый пароль, который вы получаете на контактный номер телефона или электронную почту. Даже если основной пароль был взломан злоумышленником, то ему не удастся войти в аккаунт без доступа к вашему телефону или электронной почте.

Подключение двухфакторной аутентификации для входа в административную панель CMS можно организовать с помощью специальных плагинов. Например, на WordPress это Google Authenticator и Clef Two-Factor Authentication.

Для пользователей Timeweb также предусмотрена защита аккаунта – можно привязать свой номер телефона и получать уведомления о входе в виде смс. Сделать это можно через раздел «Уведомления» в панели управления.

Как на Timeweb включить уведомления о входе в учетную запись

Совет 6: Используйте плагины, обеспечивающие безопасность

Существуют специальные плагины для защиты сайта. Например, в магазине WordPress есть отдельный раздел «Security», где можно найти всевозможные плагины для защиты ресурса.

Подробнее о некоторых плагинах из этого раздела поговорим ниже.

Wordfence Security

Плагин Wordfence Security для WordPress

Это плагин безопасности для WordPress, позволяющий сканировать сайт с целью поиска вредоносного кода, брешей и лазеек и показывающий аналитику сайта и трафика в реальном времени. Также существует возможность настройки автоматического сканирования и многое другое.

Ссылка на скачивание: Wordfence Security

Acunetix WP Security

Плагин Acunetix WP Security для WordPress

Acunetix WP Security – это плагин, который проверяет сайт на различные уязвимости в безопасности и предлагает ряд методов по их устранению. Например, можно настроить пароли, разные права доступа к файлам, защиту баз данных, защиту информации о версии WordPress и прочее.

Ссылка на скачивание: Acunetix WP Security

All In One WordPress Security

Плагин All In One WordPress Security для WordPress

Плагин All In One WordPress Security позволяет обезопасить пользовательские аккаунты и логины, базы данных и файловую систему, предотвратить брутфорс атаки (атаки, связанные с подбором пароля), сканировать сайт и прочее.

Ссылка на скачивание: All In One WordPress Security

Совет 7: Используйте средства от DDoS-атак

Один из эффективных способов защитить свой сайт – воспользоваться хостинговой защитой от DDoS-атак. На Timeweb данная услуга предоставляется партнером DDoS-Guard и обеспечивает L7-защиту для надежного отражения DDoS-атак, высокую скорость доставки контента, а также безопасную и непрерывную работу сайтов.

Для подключения такой услуги, необходимо:

  1. Обратиться в службу поддержки.
  2. В обращении написать, для каких сайтов вы хотите подключить услугу от DDoS-атак.
  3. Чтобы услуга была подключена, необходимо пополнить баланс на 300 рублей.

Совет 8: Делайте резервные копии сайта

Даже при идеальной защите сайта нельзя быть уверенным в том, что он не будет взломан. Что-то может пойти не так и сайт все же окажется поражен. Чтобы быть готовым и к этому, следует создавать резервные копии сайта, благодаря которым сайт можно восстановить.

На Timeweb есть встроенный инструмент для создания резервных копий. Воспользоваться им можно следующим образом:

  1. Переходим в панель управления.
  2. Открываем раздел «Резервные копии».
  3. В правой части выбираем «Создать резервную копию».
  4. Готовые бэкапы будут доступны в этом же разделе.

Как создать резервную копию сайта на Timeweb

Также можно воспользоваться инструментом создания резервных копий внутри CMS. Например, на WordPress есть специальный плагин WordPress Database Backup. Настройки плагина позволяют установить опцию ежедневной отправки резервной копии базы данных на ваш почтовый ящик.

Заключение

Как сделать сайт неубиваемым – вопрос, который волнует всех веб-разработчиков. В сегодняшней статье мы разобрали основные методы, позволяющие улучшить защиту ресурса. В первую очередь стоит позаботиться об SSL-сертификате, установить надежный пароль для входа в учетную запись и по возможности воспользоваться средством от DDoS-атак.

Читайте также: 8 крупнейших DDoS-атак в истории

Комментарии

Дата-центр ДатаХата +2
26 окт в 10:11
Ну, конечно, одной админкой и SSL-сертификатом обойтись в этом вопросе не возможно. Необходимо также выбрать надежный хостинг или ЦОД (если бизнес крупный), т.к. весь сайт будет располагаться там. Ну и продумать систему сохранения всех паролей. Флешка может потеряться, комп могут взломать, облако (типо Гугл-диск или Яндекс-диск) тоже не больно надежно, блокнот - ну ... такое себе))) Т.е. в этом вопросе не только плагины и сертификат важны
Дмитрий Вермутов +4
25 ноя в 19:13
Вся информация в этой статье себе же и противоречит. Крупный бизнес способен нанять себе специалистов по безопасности. А сайтам, которые не имеют весомого значения для бизнеса - вообще DDOS не очень то страшна. Стоимость DDOS будет больше чем причиненный ущерб от нее. Поэтому статью можно считать "вымышленной". Хотелось бы узнать мнение автора по этому поводу.
Свернуть ответы
Дмитрий Вермутов +4
25 ноя в 19:15
В остальном - советы действительно простые и эффективные. Поддерживаю.
С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
С помощью соцсетей
У меня уже есть аккаунт Войти
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email вашего аккаунта
Ваш баланс 10 ТК
1 ТК = 1 ₽
О том, как заработать и потратить Таймкарму, читайте в этой статье
Чтобы потратить Таймкарму, зарегистрируйтесь на нашем сайте