1390958349_vzlom_comp1 Важные факты о безопасности веб проектов на CMS H-SCRIPT
UPDATE 
18/12/2016

Скрипт h-script прошел плановую проверку безопасности (аудит). На этот раз аудит делал Александр Дьяковченко, специалист с 9-летним стажем работы, безупречной репутацией. Занимает 3-е место на fl.ru в разделе «Защита информации»

Скрипт в очередной раз показал высокую степень защиты. Детали аудита и рекомендации специалиста можно посмотреть тут 
Даже хорошо написанный код может быть подвержен уязвимостям в случае, если веб проект размещен на небезопасно сконфигурированном хостинге.
Последствием небезопасно сконфигурированного веб сервера может стать взлом и последующий захват сайта злоумышленником.
В этой связи размещение сайта на безопасном хостинге становится особенно важным.
Следующие рекомендации составлены на основе лучших практик безопасности и опыта наших специалистов по защите проектов на H-SCRIPT от взлома:
Защищенный от взлома хостинг должен обладать рядом признаков, среди которых, в первую очередь, можно выделить:
*Защита от OWASP Top 10 Application Secuirty Risks, включая SQL Injection, XSS, PHP-Including и тп.
*Безопасность сетевых соединений (ограничение входящих/исходящих соединений через iptables)
*Безопасность уровня пользователей и групп
*Безопасность прав доступа для объектов файловой системы
*Безопасное выполнение php-кода
*Отправка на электронную почту уведомлений о возможных инцидентах безопасности.
На сервере должен быть развернут WAF (Web Application Firewall), например mod_security, что значительно снизит вероятность успешного взлома веб сервера.
Также следует реконфигурировать PHP и системное окружение для безопасного выполнения кода (отключение потенциально опасных функций, предотвращение выполнения RFI (Remote File Inclusion), выполнение web shells, выставление адекватных системному окружению прав на файлы и директории).
Чтобы предотвратить запуск not-PHP веб шеллов — возможность выполнения perl, python, ruby и др. скриптов от имени веб сервера крайне желательно отключить.
Для предотвращения возможной компиляции эксплоитов и запуска bind/back connect бэкдоров — GCC и NC должны иметь соответствующие права (например 750 или 700).
При работе в боевом режиме рекомендовал бы использовать с cloudflare и PHPIDS в качестве локальной системы безопасности(фильтровать GET и POST). Также обязательно нужно отключать вывод ошибок PHP пользователям. Если серверная часть не будет содержать уязвимостей каких либо проблем с безопасностью не возникнет. Для админ панели лучше дополнительно использовать авторизацию с помощью  htpasswd + ограничение по IP если у вас статический.
Если все выше сказанное Вы не умеете делать, советую нанять системного администратора или лучше специалиста по защите информации
который будет следить за вашим проектом.
Основные рекомендации, которых должен придерживаться каждый администратор сайта:

1. Открыть по 2 кошелька в каждой платежной системе: один API, второй SCI;
2. Не держать больших сумм на API кошельке;
3. Не передавать доступы к сайту посторонним;
4. Менять пароли, в независимости от того, насколько сильно доверие к разработчикам;
5. Создавать кодовые фразы не менее 16 СиМВолОв/цифр в длину для Perfect Money и других;
6. Покупать дорогой и качественный хостинг (избегать Koddos, Geniusguard);

7. Включите «привязка сессии к IP» и «запрет параллельных сессий»;

8. Рекомендуем использовать google 2 factor authentication, в скрипте есть такая возможность;

Перед стартом проекта Вы должны осознавать и быть готовым ко всевозможным рискам, в том числе и к риску взлома. К сожалению, взламывают даже таких гигантов как SONY или Microsoft, и 100% защиту вам не сможет дать никто. Однако, если вы будете придерживаться описанных выше рекомендаций, вы сведете риск взлома к минимально возможному.

Ни один из наших конкурентов не дает подобных рекомендаций и даже не поднимает такой проблемы. Наш же подход заключается в другом: мы заботимся о нашем клиенте и стараемся сделать работу с HS максимально удобной и безопасной!

Полезные ссылки: