Защита на сайтове.
- Автор Valentinn
- Начална дата
gnmerindjey
New Member
От: Защита на сайтове.
Мерси за инфото !
Мерси за инфото !
livpool3516
New Member
От: Защита на сайтове.
Полезна темичка точно като за мен
Полезна темичка точно като за мен
smart.idea
New Member
От: Защита на сайтове.
Беше ми полезна информацията !
Беше ми полезна информацията !
Данаил Делчев
New Member
От: Защита на сайтове.
Верно е така че ще пробват хората. От друга страна резил ще е да се пишем администратори и 1 сайт да не можем да защитим Супер тема!
Верно е така че ще пробват хората. От друга страна резил ще е да се пишем администратори и 1 сайт да не можем да защитим
Супер тема!
alabalist
New Member
От: Защита на сайтове.
Част от работата ми е да проверявам за евентуални пропуски в сигурността и да премахвам поражения от хакнати сайтове. До момента най-често се повтарят следните грешки:
1. Разменят се пароли по пощата - изпращат се на клиент, той на друг и т.н. Подобни писма много често попадат като препратени не където трябва, остават като копия на неподходящи сървъри, лесно биват разбивани самите пощи. Изобщо пощата е сериозен източник на пароли.
2. Паролите се записват в Microsoft Word, Excel или текстов файл. И разбира се винаги на десктопа - трябват ви 30 сек. за да отворите файла докато сте на гости, да го щракнете с телефона си и сте готови - пълен набор пароли.
3. Ползват се записани пароли в недоразумения като FileZilla FTP Client, които не криптират дори елементарно паролите. Пъхате флашка или нещо зло по пощата, Skype, FB и т.н. и то обира всичко ценно от %appdata% пътя.
4. Паролите не се сменят. Никога. Така ако любезното студио/хостинг прати по пощата паролите те си остават такива, прилежно оставили следи по пощи, файлове и т.н.
5. Ползват се магическите комбинации admin/admin, admin/123456 или хитрото admin/9876543210.
6. Инсталира се Wordpress без никаква защита, като например смяна на пътищата по подразбиране, следене за определен брой сгрешени пароли, няма пращане на поща при влизане като администратор и т.н.
7. Никога не се прави ревизия на сайт - да се проследи трафика за необичайно висок ръст на файл в /images/ или други необичайни места, в HTML кода след </html> има още код, появила се е странна <iframe> и т.н. Така промъкнал се вече скрипт остава незабелязан с години.
8. Паролите се съхраняват в неподготвени за това хора. Изпращате им писмо от произволен адрес, но FROM: е дефиниран като <Пешо админа [email protected]> и ги молите за паролите - всичко се дава без проблем.
9. Рядко се ползват програми като KeePass или паролата за тях е на видно място отново в текстов файл. Или на бележка до монитора/таблото.
Част от работата ми е да проверявам за евентуални пропуски в сигурността и да премахвам поражения от хакнати сайтове. До момента най-често се повтарят следните грешки:
1. Разменят се пароли по пощата - изпращат се на клиент, той на друг и т.н. Подобни писма много често попадат като препратени не където трябва, остават като копия на неподходящи сървъри, лесно биват разбивани самите пощи. Изобщо пощата е сериозен източник на пароли.
2. Паролите се записват в Microsoft Word, Excel или текстов файл. И разбира се винаги на десктопа - трябват ви 30 сек. за да отворите файла докато сте на гости, да го щракнете с телефона си и сте готови - пълен набор пароли.
3. Ползват се записани пароли в недоразумения като FileZilla FTP Client, които не криптират дори елементарно паролите. Пъхате флашка или нещо зло по пощата, Skype, FB и т.н. и то обира всичко ценно от %appdata% пътя.
4. Паролите не се сменят. Никога. Така ако любезното студио/хостинг прати по пощата паролите те си остават такива, прилежно оставили следи по пощи, файлове и т.н.
5. Ползват се магическите комбинации admin/admin, admin/123456 или хитрото admin/9876543210.
6. Инсталира се Wordpress без никаква защита, като например смяна на пътищата по подразбиране, следене за определен брой сгрешени пароли, няма пращане на поща при влизане като администратор и т.н.
7. Никога не се прави ревизия на сайт - да се проследи трафика за необичайно висок ръст на файл в /images/ или други необичайни места, в HTML кода след </html> има още код, появила се е странна <iframe> и т.н. Така промъкнал се вече скрипт остава незабелязан с години.
8. Паролите се съхраняват в неподготвени за това хора. Изпращате им писмо от произволен адрес, но FROM: е дефиниран като <Пешо админа [email protected]> и ги молите за паролите - всичко се дава без проблем.
9. Рядко се ползват програми като KeePass или паролата за тях е на видно място отново в текстов файл. Или на бележка до монитора/таблото.
kupi-bg-com
New Member
От: Защита на сайтове.
Важен елемент за защита на сайтовете е автоматичен ежедневен бекъп на файловете и базата данни. Повечето хостинг доставчици имат вйключен бекъп, но пазят само няколко версии назад във времето и доста от тях правят бекъпа не всеки ден, а да речем 4 пъти в седмицата. Хубаво е да настройте бекъп от външен доставчик и да съхранявате бекъпа на сървъри различни от тези на хостинг доставчика ви. Така ако има проблем с хостинг доставчика ви ще може да възстановите сайта си.
Ако да речем сайта ви е хакнат преди 8 дена и вие се усещате чак сега, то ще имате възможност да го възстановите, защото бекъпа ще пази да речем 30 версии назад във времето (30 дни назад). Стъпките за възстановяване и защита на сайт могат да бъдат:
- възстановявате сайта от бекъп
- ъпдейтвате CMS-a (ако ползвате такъв - Wordpress, Joomla)
- сменяте всички пароли
- правите тестове
- сайта Ви работи отново
Защита на сайт. Бекъп на сайт и възстановяване на сайт.
Важен елемент за защита на сайтовете е автоматичен ежедневен бекъп на файловете и базата данни. Повечето хостинг доставчици имат вйключен бекъп, но пазят само няколко версии назад във времето и доста от тях правят бекъпа не всеки ден, а да речем 4 пъти в седмицата. Хубаво е да настройте бекъп от външен доставчик и да съхранявате бекъпа на сървъри различни от тези на хостинг доставчика ви. Така ако има проблем с хостинг доставчика ви ще може да възстановите сайта си.
Ако да речем сайта ви е хакнат преди 8 дена и вие се усещате чак сега, то ще имате възможност да го възстановите, защото бекъпа ще пази да речем 30 версии назад във времето (30 дни назад). Стъпките за възстановяване и защита на сайт могат да бъдат:
- възстановявате сайта от бекъп
- ъпдейтвате CMS-a (ако ползвате такъв - Wordpress, Joomla)
- сменяте всички пароли
- правите тестове
- сайта Ви работи отново
Защита на сайт. Бекъп на сайт и възстановяване на сайт.
Torbalan Trolski
Well-Known Member
vladko82
Active Member
От: От: Защита на сайтове.
Айпито е софийско, а аз съм във Варна. Другото, което пак само от това айпи се цъка е: сайт.ком/wp-cron.php?doing_wp_cron=1428737433.1770050525665283203125
Кажи-речи всеки ден има по няколко цъквания с тези 2 линка от въпросното айпи, хуис-а показва, че собственик е голяма фирма с безупречна репутация, т.е. неин потребител се прави на хакер. Чудя се дали да не им пратя няколко скрийншота, да го предупредят...
Айпито е софийско, а аз съм във Варна. Другото, което пак само от това айпи се цъка е: сайт.ком/wp-cron.php?doing_wp_cron=1428737433.1770050525665283203125
Кажи-речи всеки ден има по няколко цъквания с тези 2 линка от въпросното айпи, хуис-а показва, че собственик е голяма фирма с безупречна репутация, т.е. неин потребител се прави на хакер. Чудя се дали да не им пратя няколко скрийншота, да го предупредят...
TheCrazyBastard
Well-Known Member
От: Защита на сайтове.
Това ще да е някакъв мониторинг на хостинга, който ползваш. И аз имам такива, започващи с wp-cron.php?doing_wp_cron=14287... и други цифри. Друга възможна причина е от даден активиран плъгин, който през определено време проверява нещо. Мисля, че няма нужда от притеснения. Преди бях на един хостинг, който чрез разни заявки искаха направо да хакнат сайта и като ги блокирах, веднага се свързаха с мен, че това било с цел някаква защита на хостинга, проверявайки сайтовете на сървъра си с някакъв софтуер. Не ми се стори много редно и ги оставих блокирани, малко по-късно смених и услугата им.
P.S. Това може да ти увеличи процесорното време с до 10-15%. За да се деактивира cron в WP в wp-config.php се добавя:
define('DISABLE_WP_CRON', true);
Така обаче рискуваш правилната работа на определени добавки.
Това ще да е някакъв мониторинг на хостинга, който ползваш. И аз имам такива, започващи с wp-cron.php?doing_wp_cron=14287... и други цифри. Друга възможна причина е от даден активиран плъгин, който през определено време проверява нещо. Мисля, че няма нужда от притеснения. Преди бях на един хостинг, който чрез разни заявки искаха направо да хакнат сайта и като ги блокирах, веднага се свързаха с мен, че това било с цел някаква защита на хостинга, проверявайки сайтовете на сървъра си с някакъв софтуер. Не ми се стори много редно и ги оставих блокирани, малко по-късно смених и услугата им.
P.S. Това може да ти увеличи процесорното време с до 10-15%. За да се деактивира cron в WP в wp-config.php се добавя:
define('DISABLE_WP_CRON', true);
Така обаче рискуваш правилната работа на определени добавки.
vladko82
Active Member
От: Защита на сайтове.
Аз не бях отварял логовете въобще, просто преди няколко дни реших да си поизтрия повечето смси в телефона и видях,че предния месец са ми дошли едни секюрити кодове за логин от ФБ на смс(много добра услуга, която препоръчвам на всички) и се оказа, че освен фейса, са се опитвали да ми хакнат 2 от пощите+ 1 от сайтовете. Затова и реших да попитам за тези линкове, иначе паролите са ми бетон навсякъде, даже и аз не бих могъл да се хакна. :lol:
Аз не бях отварял логовете въобще, просто преди няколко дни реших да си поизтрия повечето смси в телефона и видях,че предния месец са ми дошли едни секюрити кодове за логин от ФБ на смс(много добра услуга, която препоръчвам на всички) и се оказа, че освен фейса, са се опитвали да ми хакнат 2 от пощите+ 1 от сайтовете. Затова и реших да попитам за тези линкове, иначе паролите са ми бетон навсякъде, даже и аз не бих могъл да се хакна. :lol:
bebcheto
Active Member
От: Защита на сайтове.
Полезен съвет.
Но не забравяйте, че в днешно време се хакват доста телефони!
Паролата която избираш трябва да има поне 2-3 иероглифи най-малко и ще е неразбиваема.
Полезен съвет.
Но не забравяйте, че в днешно време се хакват доста телефони!
Паролата която избираш трябва да има поне 2-3 иероглифи най-малко и ще е неразбиваема.
От: Защита на сайтове.
Браво, страхотна тема! Не видях никъде по-горе част от следните методи, които аз ползвам:
- премахването или ограничаването(CHMOD)на всякакви readme/changelog или подобни файлове и по възможност скриване на версията на дадения cms
- защита на администраторския логин панел със .htaccess - влизане само с определени IP-та
Браво, страхотна тема! Не видях никъде по-горе част от следните методи, които аз ползвам:
- премахването или ограничаването(CHMOD)на всякакви readme/changelog или подобни файлове и по възможност скриване на версията на дадения cms
- защита на администраторския логин панел със .htaccess - влизане само с определени IP-та