1-9 Важные факты о безопасности веб-проектов на CMS H-SCRIPT

Даже хорошо написанный код может быть подвержен уязвимостям, если веб-проект расположен на небезопасно настроенном хостинге.

Следствием небезопасной настройки веб-сервера может быть взлом и последующий захват сайта злоумышленниками.

В связи с этим особенно важно размещать сайт на безопасном хостинге.

Следующие рекомендации основаны на лучших практиках безопасности и опыте наших специалистов по защите от взлома проектов, созданных на H-SCRIPT:

Защищенный от взлома хостинг должен обладать рядом атрибутов, среди которых, в первую очередь, могут быть:

*Защита от 10 самых опасных рисков OWASP, включая SQL-инъекции, XSS, PHP- инъекции и т. д.

*Безопасные сетевые соединения (ограничение входящих/исходящих соединений через iptables)

*Уровень безопасности для пользователей и групп

*Безопасность разрешений для объектов файловой системы

*Безопасное выполнение php-кода

*Отправка по электронной почте уведомлений о возможных инцидентах безопасности.

На сервере должен быть развернут WAF (брандмауэр веб-приложений), то есть mod_security, что значительно снизит вероятность успешного взлома веб-сервера.

Также необходимо перенастроить PHP и системную среду для безопасного выполнения кода (отключение потенциально опасных функций, предотвращение выполнения RFI (Удаленное включение файлов), выполнение веб-оболочек, установка соответствующих прав на файлы и каталоги в системной среде).

Для предотвращения запуска не-PHP веб-оболочек — возможность выполнения сценариев perl, python, ruby и т. д. от имени веб-сервера крайне желательно отключить.

Чтобы предотвратить возможную компиляцию эксплойтов и запуск бэкдоров bind/back connect — GCC и NC должны иметь соответствующие разрешения (например, 750 или 700).

Если вы не знаете, как сделать все вышеперечисленное, я советую вам нанять системного администратора или, лучше, эксперта по защите данных.

Основные рекомендации, которых должен придерживаться каждый администратор сайта:

  1. Откройте 2 кошелька для каждой платежной системы, один API, второй SCI;
  2. Не держите большие суммы на API кошельке;
  3. Не передавайте доступ к сайту посторонним пользователям;
  4. Меняйте пароли, независимо от того, насколько вы доверяете разработчикам;
  5. Создайте парольную фразу длиной не менее 16 символов/цифр для Perfect Money;
  6. Купите дорогой и качественный хостинг (избегайте Koddos, Geniusguard);

Перед началом проекта вы должны быть осведомлены о всех рисках, включая риск взлома, и быть готовыми к ним. К сожалению, иногда взламывают даже такие гиганты, как SONY или Microsoft, и 100% защиты никто не может дать. Однако, если вы будете следовать рекомендациям, изложенным выше, вы уменьшите риск взлома до минимально возможного.

Ни один из наших конкурентов не дает таких рекомендаций и даже не говорит о такой проблеме. У нас другой подход: мы заботимся о наших клиентах и стараемся сделать работу с HS удобной и безопасной!