| SvetlanaAr | Дата: Вторник, 02.04.2013, 20:22 | Сообщение # 1 |
 Принцесса
Группа: Администраторы
Сообщений: 138
Статус: Offline
| БЕЗОПАСНОСТЬ
Администрирование настроек безопасности
В этой главе местами я могу повторять то, что уже писала.НО! В вопросах безопасности сложно перестараться. Лучше прочесть что-то три раза, чем
потом лить горькие слезы над пропавшим сайтом. Сначала рассмотрим панель Безопасность в верхней части панели администрирования:Параметры безопасностиЭта группа настроек относится ко входу и работе в панелиуправления сайтом.
Максимальноеколичество одновременных входов в панель управления
Определяет, сколькочеловек одновременно могут быть залогинены в панели
администрирования. Авторизация с одного компьютера, но изразных браузеров, считается за отдельный вход. То есть, если значение этого
параметра будет равно 1, вы не сможете зайти в панель администрирования из Opera, IE и
Firefox одновременно. Например, вы залогиненыи работаете в IE. Зайдя в панельуправления через второй браузер (предположим, Firefox), при попытке что-нибудь изменить из IE, вы увидите такую надпись:Всего можно разрешить четыре авторизированных входа. В концеконцов, панель администрирования — это святая святых сайта, а не проходной
двор .
Тайм-аут сессии Предположим, вы работали над сайтом и отвлеклись на что-тоболее важное. Через некоторое время решили продолжить работу, но при попытке
что-то поменять вас выкинуло из панели — авторизация исчезла. Надо логиниться
заново. По умолчанию это могло произойти, если вы бездельничали час — именнотакое значение установлено у параметра Тайм-аут сессии по умолчанию.
Если работа в панелиуправления ведется только из дома, можно увеличить тайм-аут сессии, чтобы не получать ошибок об истечении периода сессии
при длительном отсутствии активности. Максимальный период, который вы
сможете установить, — 18 часов. Но учтите, при очень большом значении параметра выможете оставить открытым браузер, уйти гулять, а в это время ваш неугомонный младший
братишка изменит облик сайта до неузнаваемости. Если в вашей жизни есть подобные
риски, всегда выходите из панели администрирования, если планируете надолго оставить
ее без присмотра.
Уровень безопасностисессии по IP-адресу IP-адрес (aй-пи адрес, сокращение от англ. Internet Protocol Address) — уникальный идентификатор (адрес)устройства (обычно компьютера),подключенного к локальной сети и (или) Интернету.
Во время работываш IP в течение сессии может поменяться, и при неправильной настройке данного параметра вас будет выкидывать —разлогинивать.
По умолчанию стоитсредний уровень безопасности — фиксация сети класса С. Это значит, что у
вашего IP может поменяться только последнее из четырехчисел, разделенных точкой.
Можно поставить низкий уровень безопасности — фиксация сетикласса В, тогда меняться смогут два последних числа. Если у вас периодически
изменяется IP-адрес (вы работаете черезкаскадные прокси-серверы, программу экономии трафика, или ваш способ подключения к Интернету не предусматривает постоянного
IP-адреса), и работа в панели управления часто прерывается ошибкой об изменившемся IP-адресе, можно выбрать пункт без привязки, однако это значительно снизит уровеньбезопасности.
Если же вы зафиксируете единственный IP, будьте крайне осторожны — в случае его смены вы потеряете сессию, и придется заходить на сайтзаново! Фиксировать единственный IP крайне не рекомендую.
Вход в панель только суказанных IP-адресов и подсетей Весьма спорныйпараметр. Служба поддержки системы практически завалена жалобами тех, кто перемудрил с ним и потерял доступ к сайту.
Для начала немноготеории — манипуляции с привязкой по IP отвечают за то, с каких компьютеров будет разрешен доступ в панельадминистрирования. Можно сделать так, что войти можно будет лишь с единственного компьютера,
который стоит у вас за семью замками для пущей безопасности. Или разрешить
администрировать исключительно из России, с вашей улицы… Настройка завораживающе интересная.
НО ЕСЛИ ОШИБЕТЕСЬ…,
то вам обеспечена долгая и увлекательная переписка ссуппортом!
Если вы все-такищелкнете по синей надписи:
Мы крайне не советуемиспользовать данную функцию, если Вы не понимаете, как она работает. Может случиться так, что Вы никогда не сможете
попасть в свою панель.
откроется окно дляввода адресов или масок подсетей, а справа отобразится ваш текущий IP. Эта функция позволяет достичь максимального уровня
безопасности (и максимального риска остаться без сайта, если что-то изменится). Подсети можно указывать многими способами: «100.101.102», «100.101.102.*», «100.101.102.0/24», «100.101.102.0/255.255.255.0» — всеони задают одну и ту же подсеть, в которую входят IP-адреса с 100.101.102.0 по
100.101.102.255. Можно указать до 20 подсетей.
НЕ ТРОГАЙТЕ ДАННУЮНАСТРОЙКУ, ЕСЛИ НЕ УВЕРЕНЫ, ЧТО ХОРОШО ПОНИМАЕТЕ ЕЕ СМЫСЛ!
Сохранить всеизменения в настройках данного блока можно, лишь введя ответ на секретный вопрос. Это нужно для того, чтобы если даже
злоумышленники попали в вашу панель администрирования, им не удалось совершить
непоправимое. Берегите ответ на секретный вопрос как зеницу ока!
Замена пароля отаккаунта (панели управления) В разделе Безопасность можно установить индивидуальныйпароль для доступа в панель администрирования. Это повысит защиту вашего ресурса.
Механизм весьма прост — достаточно один разввести старый пароль, два раза ввести новый пароль, ответить на секретный вопрос и сохранить изменения.Пароль может содержать от 6 до 15 символов и состоять излатинских букв и цифр, а также дефиса. Нерекомендуется делать паролем собственное имя, год рождения или какие-нибудь значащие слова. Идеальный пароль — этокомбинация вроде Fgn478sghh47 — такое ни в жизни неугадать методом перебора. Запомнить подобное, правда, тоже весьма сложно, поэтому храните пароли в специальных
программах.
Замена пароля от FTP Процесс очень похож на замену пароля панелиадминистрирования, с той лишь разницей, что старый пароль от FTP вводить не требуется. Для сохранениярезультатов изменения снова нужен ответ на секретный вопрос.
Смена владельца сайта Эта настройка меняетпривязку сайта к uNet-аккаунту. Для смены владельца нужно указать адрес электронной почты (uID) нового владельца и
ответ на секретный вопрос:
После этого создастся запрос, который должна будетподтвердить в своем вебтопе принимающая сторона:
Отменить перенос сайта можно только до момента подтвержденияпереноса
принимающей стороной. И делать это можно не более двух раз,после чего данная функция будет заблокирована. При входе в свой вебтоп
принимающая сторона увидит всплывающее окно:
После щелчка по кнопке Подтвердить владелец сайта сменится. Лог действий Файл регистрации, протокол, журнал или лог (англ. log) —файл с записями о событиях в хронологическом порядке.
Здесь сохраняются все сведения о работе с сайтом и заходах впанель
администрирования. Система ведет два лога. Один (a.log, илиЛог действий) отображает все действия с сайтом: добавление новых статей, фотографий,
редактирование и т. д.:
Лог ведется на английском. На рисунке видно, как фиксируетсявремя изменения, действие, логин и группа измнявшего, его IP-адрес и ID
измененного материала.
Второй лог — это security log, лог безопасности. Переключательмежду логами находится справа в углу страницы:
Лог безопасности хранит все удачные и неудачные попыткивхода в панель
администрирования и IP-адреса, с которых они осуществлялись.Логи очень полезны, если на сайте случилось какое-тобезобразие (удалили ценные материалы), и нужно найти виновных, а если вас пытаются
взломать, перебирая пароль, то в логах зафиксируется адрес злоумышленника, и его можно
будет забанить на веки вечные.
Пароли- пароли-пароли… Пароли — это очень важная составляющаябезопасности. Это то, что нужно беречь,не забывать и не прятать на бумажке под клавиатурой. Во многих
случаях потеря пароля от сайта равносильна потере самого сайта. Вот он, все еще висит
в Интернете, но уже не ваш .
Для повышения сохранности сайта в uCoz существует системаразделения паролей. У сайта есть святая-святых — панель управления. Это место, где
с сайтом можно сделать все, вплоть доудаления. Поэтому у сайта должен бытьтолько один владелец — вы. И только у вас должен быть доступ к этим настройкам. Именно поэтому не стоит никому давать регистрировать аккаунтза вас. Если пароль от него знает больше одного человека — это всегда потенциальный
риск. Даже если сегодня вы лучшие друзья, не нужно допускать ситуации, в которой
завтра вы будите писать в техническую поддержку с просьбой вернуть удаленный сайт.
Самый верхний уровень иерархии паролей — это пароль отвебтопа, он же — пароль от панели администрирования сайта (если вы не установили
индивидуальный), а также ответ на секретный вопрос, который может стать последним барьером
для злоумышленника.
Например, не зная его, нельзя удалить аккаунт, даже обладаяпаролем от панели
администрирования. После владельца аккаунта по важности и правам доступа следует пользователь-администратор сайта. Не стоит путать эти два понятия.Пользователь-администратор не имеет доступа к панели администрирования, он работает с
сайтом через админбар. И логинится через общую форму на сайте, в то время как администратор сайта заходит через www.имя_сайта.ru/admin или вебтоп.Пользователей-администраторов может быть несколько, и ониотвечают за контент и дизайн. Но, повторюсь, не за аккаунт.
Мошенничество и хакингДопустим, случилась маленькая катастрофа: вы хотите зайти насайт, но вам не удается это сделать! Ваш сайт больше не хочет с вами знаться, или
пока еще признает в вас хозяина, но неожиданно стал завешан голыми тетками, а в
шапке появилась надпись «Тут был Вася!».
Таким образом, мы с вами оказываемся в классической ситуации«Кто виноват и что делать?». В 99% случаев виновата наша лень, нежелание читать
правила, невнимательность или доверчивость.
Условно разделим всенеприятности, которые могут с вами приключиться, на три типа:
фишинг (phishing) — мошенничество, хакинг (hacking) — взлом системы с использованием познаний в программировании и склерозинг — в этом случае вы сами сделали все что могли: забыли, потеряли или спрятали бумажкус паролем в сейф с олодными мышами.
Фишинг Технически взломать любой сайт очень непросто. А сайт наuCoz — вообще практически невозможно. Куда легче подобрать ключик к владельцу сайта,
хитростью выманив у него логин и пароль. Это вам, господа, не хакинг «программист
против программиста», это уже целый социальный инжиниринг .
Под фишингом понимаютинтернет-мошенничество, целью которого является получение доступа к конфиденциальным данным пользователей. На этот
метод мы попадаемся, как щучки на блесну. Им тоже казалось, что приманка настоящая и
плавает сама по себе. Самый последний из виденных мною фишинговых сайтов
имитировал вход на сайт через панель администрирования типа «ваш-сайт.ru/admin». Выглядел
он так:
и помимо логина/пароля выманивал секретный вопрос и ответ нанего.
Человека бывалого точно смутил бы адрес сайта — онрасполагался на стороннем хостинге, а название сразу не внушало доверия. Но много ли
надо новичку, чтоб попасться в сети? Да даже если такой сайт располагается
на uCoz и имеет адрес admin.ucoz.ru, верить ему ни в коем случае нельзя! Ссылка на поддельныйсайт располагалась в поддельном письме, в котором от имени uCoz сообщалось очистке в системе и необходимости вводить логин/пароль. А теперь скажите мне, в скольких местах (панели
администрирования, FAQ системы, главной страницы, правил и т. д.) написано, что сотрудники uCoz никогда не будут просить вас сообщать им логин, пароль и, боже упаси, девичью фамилиювашей матушки!? И что, помогает? Как думаете, сколько человек ввели-таки свои
данные? И кто при этом виноват в том, что впоследствии их сайт был взломан? Этот пример с
письмом может считаться
классикой выманивания. Фишинг может такжесодержать какое-то обещание. Например, «введите тут ваш логин и пароль и получите 500 Мб на свой аккаунт». Надеюсь, вы
догадываетесь, что на самом деле получите в случае ввода? Пожалуйста, уведомляйте
администрацию о подобных ресурсах, чтобы они могли принимать меры.
Бывают варианты и посложнее. Вы никаких подозрительных писемне получали, ни по каким подозрительным ссылкам не ходили, но при входе на главную страницу сайта выскакивает предложение авторизоваться, как здесь: То, что ничего туда ни в коем случае нельзя вводить,надеюсь, и так понятно! Но откуда эта красота? Давайте-ка отмотаем время назад и вспомним, ни
с кем вы случайно баннерами не обменивались на днях? Никакие новые наборы
смайликов на сайт не подгружали? Вспомнили? То-то же!
Если вы загрузили насайт (через файловый менеджер) картинку, которая на самом деле картинкой не является, а таит в себе вредоносный код, то с
сервера uCoz он выполниться не сможет. Но если вы подгружаете что-то со стороны (просто
ссылкой), то на сайте как раз может выскочить подобное окошко — результат работы
скрипта.
Эта пакость может прятаться также в импорте удаленного кода,который вы сами вставили на сайт! Удаляйте быстро!
Еще один вариант — если вам в ICQ вдруг постучалась непонятная личность, представилась администратором uCoz и в процессе разговора(пока вы ошалели от такого внимания) ненавязчиво так интересуется: «Да, кстати, мил человек,
а какой у тебя логин-пароль?». Совет — удаляйте такой контакт сразу. Дамы и
господа! Администрации делать больше нечего, как с вами общаться на подобные темы!
Хакинг Под хакингом понимаютпорчу (удаление, искажение информации, получение доступа к администрированию и т. д.) вашего сайта злоумышленником
путем использования технических уязвимостей в системе (уязвимость, сидящая на
стуле по эту сторону экрана, была рассмотрена нами в предыдущей части ).
«Против лома нетприема, если нет другого лома». Так вот, товарищи, против кода системы uCoz лома нет! На данный момент не былозафиксировано ни одного случая взлома системы путем, в котором хотя бы косвенно не был
виноват сам владелец сайта. И на это есть целый ряд причин.
uCoz порой осуждаютза закрытость кода. Но именно эта закрытость позволяет системе быть столь безопасной. Именно поэтому не зафиксировано еще
ни одного взлома за счет уязвимостей системы. Быть может, в коде системы и есть
изъяны (идеальных систем не бывает), но, не имея доступа к коду, их практически
невозможно обнаружить. Кроме этого, за безопасностью системы следят разработчики.
В это же времяхакерские форумы полны заявлениями «Я сломал юкоз!», а рассказы о мифических уязвимостях системы скоро начнут по объему соперничать
с мифами Древней Греции.
Трояны Взломать сайт могуттакже, взломав непосредственно ваш компьютер. Мы следим за безопасностью своих компьютеров, но иногда злобные вирусы
прорывают оборону и похищают пароли, в том числе от наших любимых сайтов на uCoz. А после этого начинаются проблемы со входом в панель администрирования,исчезновением аккаунта и т. д.
Что делать?Предохраняться — у вас долженобязательно стоять антивирус со свежей базой или Firewall. Алучше оба инструмента. И сайт будет целее, и прочие данные на компьютере сохраннее.
Кто ломает Ваши сайты ломают, восновном, ваши же друзья (быть может, в шутку, а быть может, это друзья,
перешедшие в разряд врагов и решившие так насолить). Вряд ли кто-то из них раскошелится на DDOS-атаку,а вот утащить пароль, записанный на клочке бумаги и спрятанный под клавиатурой, сможет. Увы, нередки межклановые
распри, во время которых люди ходят по хакерским форумам и просят там
взломать соперника. Товарищи, это неспортивно! А ведь как еще бывает? Завели вы один сайт
на двоих, а потом
поссорились и начали соревноваться — один пишет, другой стирает. Думаете, шучу? Знали бы вы, сколько подобных историй приходит в саппорт.Вот пример такого письма:
Здравствуйте! Мы с Васей были друзьями четыре года и сделалисайт у вас, а потом этот **** взял и поменял все пароли, помогите, пожалуйста! Петя.
Вам смешно? А вот Пете1, думаю, не очень… Склерозинг В отличие от фишингаи хакинга, это, пожалуй, самый безобидный вариант потери контроля над сайтом. Не всегда, правда... Вас никто не ломал,но вы забыли пароль. И логин… И вообще… Что делать? Писать в поддержку. Но, предупреждаю, доказать, что сайт ваш
будет крайне непросто. Поэтому храните пароль, помните секретный ответ, записывайте логин,и не на бумажку, а используйте менеджеры паролей — специальные программки, предназначенные для хранения паролей в зашифрованном виде (например, KeePassPortable или eWallet).
Нелишним будет хранить где-нибудь на внешнем носителе резервную копию зашифрованных паролей — в службе поддержки uCoz хранитсянемало писем с темой «У меня упала винда и потерялись все пароли».
Второй вариант«склерозинга» — вы сделали привязку к IP, а он у вас сменился. Всякое бывает — и провайдеры чудят, и люди переезжают. Такоеможно сделать, если вы платите провайдеру за выделенный IP и точно знаете, что он останется с вами.Если вы установили вход в панель только с одного IP, а он поменялся,
помочь вам сможет только саппорт. Пишите письма, лучше всего на abuse@ucoz.ru . Однако
совсем отказываться от привязки тоже не стоит — оставьте привязку к подсети.
Совсем уж глупый вариант потери сайта — когда вы, скажем, работали над ним с компьютера в кабинете информатики, прозвенел звонок, и выушли. А сайт остался, и ваша учетная запись администратора тоже осталась. После вас
за компьютер село юное дарование, которое тут же воспользовалось подарком судьбы.
Бережно относитесь к своему творению и всегда выходите с сайта. Совет также
относится к интернет-кафе, там вообще сидит ушлый народ — не успеете себе кофе к компьютеру
принести, как у вашего сайта сменится руководство. Важно не щелкнуть по кнопке запомнить пароль на общедоступном компьютере. Еще одним важнымсредством спасения сайта от напастей любого рода может стать его резервная копия. Делайте такую копию хотя бы иногда и
копируйте себе на компьютер, лучше опять-таки на внешний носитель. Вообще золотое правило
— делать копию всего важного.
Ну вот, на этомкраткий ликбез по сохранности вашего сайта можно считать законченным.
А кто предупрежден — тот вооружен !
Не шалите )))
|
| |
| |
