Безопасность информации сайта

Чтобы защитить информацию сайта от несанкционированного доступа или изменения, нужно предпринять специальные меры. Ниже приведено несколько рекомендаций по обеспечению безопасности информации сайта. Некоторыми из них могут воспользоваться только профессиональные разработчики.
1. Тщательно выбирайте пароли. Это правило особенно важно для соединений FТР, регистрационных страниц и соединений с базами данных. Чтобы облегчить запоминание паролей, пользователи довольно часто применяют в этом качестве слова естественного языка, имена, даты и т.д. Учитывайте, что у хакеров есть средства автоматического перебора слов и дат, поэтому взломать такой пароль не составляет труда. Надежный пароль должен состоять из чередующихся цифр, букв и специальных символов, причем буквы должны быть разного регистра. В пароле не должен быть заложен какой-либо смысл или закономерность, предназначенные для облегчения запоминания.

2. Защищайте компьютер разработки. Взломы чаще всего происходят внутри компаний. Служащие компании обладают доступом к Web-сайту и локальной сети, поэтому им легче получить несанкционированный доступ к информации, не предназначенной для них. Если ваш рабочий компьютер подключен к локальной сети и к нему должны обращаться другие пользователи сети, обязательно предоставляйте только ограниченный доступ.
3. Отключите просмотр каталогов Web-сервера. Тогда содержимое каталогов без начальной страницы не будет доступно для других пользователей сети. Если вы не администратор Web-сервера или не знаете, как это сделать, обратитесь за помощью к сетевому администратору. Это довольно простая операция, и он может даже научить вас выполнять ее самостоятельно.
4. Страницы с ограниченным доступом, для которых нужна аутентификация (например, страница directory.ар в предыдущем примере), должны содержать код, отклоняющий запросы посетителей, не прошедших аутентификацию. Предположим, посетитель введет в браузере непосредственно адрес страницы directory.ар, не обратившись перед этим к регистрационной странице. Естественно, предоставлять ему страницу directory.ар в этом случае нельзя. Код страницы должен отклонить запрос посетителя.
5. Не используйте базы данных Асcess для хранения ценной информации, несанкционированный доступ к которой повлечет серьезные последствия. Базы данных Асcess предназначены для небольших и средних офисов, не имеющих проблем с коммерческим или промышленным шпионажем. Естественно, в системах управления базами данных Асcess предусмотрены средства защиты. Разработчик может зашифровать файл базы данных, установить аутентификацию пользователей и т.д. Однако вследствие того, что вся база данных находится в одном файле, защитить ее от опытных хакеров тяжело. К тому же, из-за огромной популярности баз данных Асcess хорошо развиты средства их взлома. В Интернете существует даже сайт, предлагающий за умеренную оплату программу автоматического взлома файлов Асcess. Если вы все же используете Асcess, то хотя бы разместите файл базы данных за пределами главного каталога Web-сайта.
6. Храните базу данных на отдельном компьютере, к которому нет непосредственного доступа из Интернета. Безопасность базы данных существенно повышается, если к компьютеру, на котором она расположена, может обратиться только Web-сервер.
7. Применяйте средства SSL для шифрования ценной информации, передаваемой базе данных и получаемой от нее. Протокол SSL (Secure Sockets Layer, слой безопасных соединений) был разработан компанией Netscape для обмена конфиденциальной информацией между серверами.
8. Не добавляйте на страницу фрагменты кода, найденные в Web, если нет абсолютной уверенности в их безопасности. Загрузив из Web, казалось бы полезный код, вы можете стать жертвой «стандартной отмычки». Многие хакеры специально взламывают сайты, предоставляющие популярные коды всем желающим, только для того, чтобы вставить в них свой шпионский код. Попав на ваш компьютер, шпионский код сообщит об этом своему хозяину и откроет для него доступ к вашему компьютеру.
Если вы создаете сайт, содержащий ценную информацию, и еще не знакомы с более мощными средствами безопасности, воспользуйтесь услугами консультанта по этим вопросам, так же рекомендую установить плагин Login LockDown защита административной панели, от этого будет зависеть безопасность информации сайта и ваш дальнейший заработок в интернете.