Ниже мы дадим простые рекомендации, которые позволят снизить (но не предотвратить!) риск взлома вашего веб-сайта.

Файл robots.txt используется на сайтах для того, чтобы предотвратить сканирование поисковыми пауками директорий, указанных в этом файле. Файл robots.txt лежит в корневом каталоге сайта.

Robots.txt может содержать список каталогов, которые запрещены для индексирования и имеет примерно следующее строение:

User-agent:*
Disallow: /Dir1
Disallow: /Admin
Disallow: /Users
Disallow: /Test
Disallow: /Unit

Просматривая этот файл, потенциальные хакеры могут получить некоторую информацию о структуре вашего сайта, в частности получить информацию о «движке» вашего сайта.

Поэтому внимательно подойдите к заполнению этого файла. Не указывайте в нём лишней информации.

Данная папка используется для хранения и выполнения различных скриптов и находится в корневой папке сайта. Там же могут присутствовать log-файлы содержащие в себе действия скрипта и записи об ошибках.

Часто после установки сервера в этой папке остаются файлы test.cgi (или test.pl). Данные скрипты могут предоставить важную информацию о сервере. Не забудьте удалить эти файлы!

Часто при вызове несуществующей страницы появляется сообщение об ошибке. Проверьте, что это сообщение не содержит какой-либо информации о версии веб-сервера и операционной системы.

В каждой папке вашего сайта должен находится файл index.html, index.php и т.д.. Если этого файла в папке нет, то браузер, скорее всего, покажет всё содержимое этой папки.

Поэтому проверьте каждую (!) папку вашего сайта на наличие этих файлов.

Также регулярно проверяйте папки вашего сайта на наличие посторонних файлов. Наличие таких файлов - явный признак того, что к вашему сайту уже кто-то присматривается.

Также регулярно проверяйте даты создания файлов на сайте. Если дата создания файла отличается от нормальной, то, возможно, в этот файл хакеры уже внедрили вредоносный код.

Разработчики веб-программ часто оставляют в программах запись о номере версии этой программы. Например:

Powered by vBulletin® Version 3.8.4

Желательно удалить хотя бы информацию о номере версии программы или подставить информацию о другой версии. Это может сбить с толку возможных злоумышленников.

Проверьте исходные коды страниц, которые загружаются пользователю в его браузер. Возможно, в этих кодах есть какая-то информация, в частности комментарии, которые могут помочь злоумышленнику в его атаке на ваш сайт.

Как говорил дедушка Ленин: «Резервные копии! Резервные копии! И еще раз резервные копии!» Не забывайте ХОТЯ БЫ время от времени, а лучше регулярно, например, раз в сутки или после каких-то изменений, делать архивные копии файлов сайта, а также резервную копию используемой базы данных. Имея на руках свежую резервную копию, вы без труда сможете восстановить содержимое взломанного сайта.

В данной статье мы перечислили наиболее общие рекомендации по безопасности сайтов. На самом деле их гораздо больше.

Если вас понравилась данная статья или вам нужна консультация по компьютерной безопасности, напишите нам: admin [at] verim [dot] org