Причин, по которым взламываются сайты, на самом деле не так много.
Вот некоторые из них:
- легкий пароль
- несвоевременное обновление CMS
- возможность узнать версию Вашей CMS
- использование «Nulled» плагинов
- предоставление всех прав пользователю базы данных
- использование бесплатных шаблонов
- пользователь admin — администратор
Рассмотрим каждую причину отдельно.
1. Лёгкий пароль
Самая распространённая причина взломов — подбор пароля администратора.
Если Вы используете пароли вида «qwerty», «Qazwsx», «123456» и подобные – вероятность взлома возрастает практически до 100%. Чтобы обезопасить себя, достаточно следовать основным правилам по составлению паролей:
- пароль должен быть не менее 8 символов,
- пароль должен состоять из строчных и заглавных букв [aA],
- пароль должен содержать специальные символы [!@#$%^&*()_+=].
Пример: H3aG*fh& - такой пароль будет сложно подобрать.
2. Несвоевременное обновление CMS (Системы управления контентом)
В каждом обновлении CMS производитель, помимо увеличения функциональных характеристик, закрывает ряд уязвимостей, которые так или иначе «всплывают» за время существования той или иной версии. Если не обновлять CMS или обновлять её несвоевременно, то злоумышленники могут воспользоваться этими уязвимостями.
Пример: владельцы CMS Joomla 1.5x. Линейка 1.5x не поддерживается разработчиками более 2-х лет, а количество сайтов, созданных на Joomla 1.5x, не уменьшается. К сожалению, данная причина также является наиболее распространённой.
Важно!
Перед тем как производить обновление системы управления контентом нужно проконсультироваться с разработчиком сайтам. Некоторые используемые на сайте модули могут не работать с обновленной версией CMS. Возможно, обновление системы управления потребует обновление версии PHP или прочего программного обеспечения. Это все необходимо предусмотреть заранее, что бы избежать непредвиденных простоев. Так же рекомендуем произвести резервное копирование файлов и баз данных, перед тем как обновлять CMS.
3. Возможность узнать версию Вашей CMS
Многие cms оставляют метки, по которым можно определить версию CMS, например в Wordpress есть тег, который генерирует в вывод .
В Joomla это файлы README.txt и LICENSE.txt.
Оставляя такие файлы и данные, владелец сайта упрощает злоумышленнику процесс идентификации CMS, а, следовательно, и применения к ней известных алгоритмов взлома.
4. Использование «Nulled» плагинов
Nulled-плагины — платные плагины, с которых злоумышленники сняли проверку лицензии, благодаря чему у конечного пользователя появляется возможность бесплатно пользоваться платным модулем. Проблема таких модулей в том, что пользователь не знает, какой код встроил злоумышленник и как и когда он сработает. Это может быть вредоносный код, который позволяет выполнить удалённые действия, например: загрузить файл на хостинг, исполнить удалённый код или сразу передать информацию об учётной записи администратора злоумышленнику.
5. Предоставление всех прав пользователю базы данных
Когда вы создаёте пользователя базы данных, ему задаются права. Прав 'NSERT', 'CREATE', 'ALTER', 'UPDATE' и 'SELECT` более чем достаточно. Если Ваш сайт взломан, то злоумышленник может получить доступ к Вашей базе данных и попросту её удалить.
Важно!
Если Вы используете данный метод, то Ваш пользователь не будет иметь прав REMOVE и не сможет удалять записи из базы данных. В этом случае могут возникнуть проблемы при обновлении сайта. Также могут возникнуть проблемы при работе некоторых модулей. Если CMS активно работает с базой данных, то данный метод не рекомендуется к использованию.
Важно!
Данный метод категорически не рекомендуется к использованию в CMS Битрикс и Корпоративный портал Битрикс.
Альтернатива.
В качестве альтернативы, если Вы используете VPS сервер, можно установить ограничения, которые позволяют подключиться к базе данных только с localhost, то есть только с того сервера, на котором размещен сам mysql-server. Если у Вас настроена синхронизация информации с базой данных извне, IP адрес узла синхронизации также можно добавить в список разрешенных для подключения.
6. Использование бесплатных шаблонов
Бесплатные шаблоны грозят тем же, чем и Nulled-плагины. В них часто встраивается вредоносный код, закодированный, как правило, base64, в котором есть исполняемый код. В определённый момент времени скрипт активизируется и начинает производить SPAM-рассылку или запускает DDoS атаку. В обоих случаях это отразится на работе Ваших сайтов, на скорости генерации и отдачи страниц.
7. Пользователь admin — администратор
В данном случае предсказуемо, что у администратора сайта будет логин admin или administrator. Именно к ним и будут подбираться пароли в первую очередь. Чтобы не дать злоумышленнику возможности легко взломать ваш сайт, мы рекомендуем совершить следующие действия:
- зайдите в панель администратора сайта,
- создайте нового пользователя,
- дайте ему права администратора,
- зайти в панель администратора ещё раз, но уже под новым паролем,
- снимите все права для пользователя, с логином admin,
- установите пользователю admin 64-значный пароль (вам этот пользователь уже не нужен).
Помимо указанных рекомендаций, предлагаем Вам создавать копии (BackUP) сайтов, чтобы всегда иметь возможность откатиться на рабочую версию ресурса. Hoster.ru создаёт бэкапы автоматически, каждые 24 часа.