You are hereГруппы / Безопасность / Ваш блог – «убийца» вашего же сайта?
Ваш блог – «убийца» вашего же сайта?
Итак, у вас есть сайт и вы готовы перейти к следующему шагу на пути самопрезентации в Интернете?
Для начала, вы заводите блог и открываете в нём возможность для гостевого блоггинга, то есть открываете другим авторам доступ к публикации постов в вашем блоге. Гостевой блоггинг может существенно оживить и привнести много нового и интересного в ваш блог, однако существуют и некоторые вопросы, о которых вам стоило бы задуматься.
Например, определённые обоснованные опасении возникают по поводу безопасности (защищённости) вашего блога.
Если вы думали, что безобидные на первый взгляд слова "Я хочу просто опубликовать гостевой пост на вашем сайте" – это начало развитии интерактивности и многогранности вашего блога, то вы рассматриваете эту ситуация слишком идеалистически.
С чем же нам стоит бороться?
В первую очередь, с получением Cookies с помощью Javascript.
Вы можете изменять исходный код любой страницы с помощью «инъекций» JavaScript:
Но вместо того, чтобы вас пугать, предлагают вам самим провести небольшой эксперимент на вашем собственном сайте.
1. Зарегистрируетесь на вашем сайте как пользователь
2. Войдите и введите следующий код в адресной строке: javascript:alert(document.cookie).
Вы сможете увидеть всю информацию о вас, которую сайт успел сохранить в виде cookie. Это будет выглядеть примерно как “user_id=something” или “PHPSESSID=something”.
3. Введите “javascript:void(document.cookie user_id=1);alert(document.cookie);”, чтобы изменить вашу роль на «администратор». Для того, чтоб это увидеть, обновите страницу.
С помощью вышеописанных действий вы можете определить, насколько ваш сайт подвержен PHP и JavaScript «инъекциям». Не стоит и говорить о степени уязвимости безопасности вашего сайта, если любой пользователь может получить администраторские права. Есть также вероятность того, что ваш сайт не поддастся таким манипуляциям, с чем вас можно только поздравить.
Если вам не так повезло и вы не можете похвастаться защищенностью вашего сайта, то следуйте следующим рекомендациям:
1. Дайте права на добавление записей только пользователям с ролью «администратор»
2. Установить в настройках по умолчанию 755 для директорий и 644 для файлов.
3. Установите 750 для файла wp-config – это сделает информацию доступной только для вас
4. Перенесите файл WP-config.php из его местоположения по умолчанию (корневой каталог) и поместите его выше по каталогу. файлы лежат там.
5. Поместите пустой HTML-файл под названием index.htm в вашей папке плагинов.
Любой веб-сайт, как банк. Есть много плохих людей вокруг, и вы никогда не можете быть абсолютно уверены, что хранилище является безопасным даже если у вас практически идеальная система безопасности. Схожесть с банком ещё и в том, что должны быть открыты двери для людей. Так что единственное, что могут сделать владельцы сайтов – это усовершенствовать внутреннюю систему безопасности.
К сожалению, дядя Питера Паркера скончался до эпохи интернет-маркетинга, в противном случае он дал бы другой набор советом нашим любимым супергероям - с большой властью приходит больше риск быть взломанным!
searchenginjournal.com