Способы обезопасить сайт от вредоносных кодов.

Тема в разделе "Обо всём", создана пользователем lesha73, 21 мар 2022.

  1. lesha73

    lesha73 Новичок

    Сообщения:
    0
    Симпатии:
    0
    Добрый день фуромчане.

    В последнее время все столкнулись с проблемой ограничения поддержки большого количества ресурсов OpenCart: шаблонов, модулей, доработок и др. Но самое печальное, что кроме поддержки, некоторые разработчики решили вредить при помощи встраивания в свои продукты вредоносного кода.

    Вопросы следующие:
    1. Какие есть варианты предотвращения доступа к своим сайтам. Понятно, что нужно придумать как можно более сложный пароль и уникальный логин, но возможно есть варианты взлома и этого (спрашиваю как простой пользователь и хотелось бы получить развёрнутый ответ, возможно пошаговую инструкцию, я понимаю, что на форуме обычно общаются продвинутые пользователи, но есть и такие, кто недавно столкнулся с необходимостью создать сайт, а в связи с малым бюджетом, вынужден устанавливать и налаживать всё самостоятельно).
    2. Если давал доступ к админке сайта и ftp, что необходимо проделать, кроме удаления пользователя в админке и ftp, почистить какие-то кэши или ещё что-то? (так же прошу развёрнутый ответ, по шагам)
    3. Если есть какое то дополнение или модуль или шаблон, который точно может быть взломан, какие необходимо проделать шаги, чтобы вычистить вредоносный код?
    Уже читал на форуме в какой-то из тем про паранойю, так что не надо пожалуйста предлагать удалить сайт и жить спокойно, прошу ответить по существу.
    4. Существует ли какой-то сервис схожий с антивирусом, который будет постоянно проверять сайт на появление вредоносного кода, дыр, взлома?
     
  2. devimirochnik

    devimirochnik Продвинутый пользователь

    Сообщения:
    730
    Симпатии:
    100
    Здравствуйте

    Навскидку:

    1. ПЕРВОЕ И САМОЕ ВАЖНОЕ!!!! Блондинка фшоке))) А если серьезно, то это бэкапы и еще раз бэкапы. Пишите хостеру и узнавайте что и как (ну или смотрите тариф, там обычно должно быть описано подобное - незачем хостеров спамить). Не помешает периодическое скачивание бэкапов к себе (может это черезмерно, но, как говорится, запас карман не тянет).

    2. Используйте статический IP для доступа к админке. И пропишите в каталоге admin в файле .htaccess ваш IP (или несколько). Как это сделать - в интернете масса обзоров - "доступ к каталогу по ip" - там буквально даже первый обзор полноценно описывает что и как.

    3. Не устанавливайте свежие версии тех модулей, в которых не уверены. Грустно, печально, тоскливо, но сейчас такой поток информации выливается на людей, что не каждый может с ним справиться. Не каждый задумывается о завтра.

    4. Если модуль вызывает подозрение, то смотрите аналоги. Или можно временно отключить. Конечно, не лучшее решение, но как бы уже писал "Грусть, печаль, тоска".

    5. Поменяйте все пароли. Опять же, лишним не будет.

    6. Отключите ненужные учетные записи (например, проверьте учетки фтп)

    7. Переименуйте из "admin"/"Администратор"/"Вася"/"Коля" и т.п. учетные записи в иные, которые будут неочевидными. Обычно начинают ломать очевидные логины вида admin, root и т.п.

    8. Проверяйте свой сайт как можно чаще. Т.е. не нужно круглосуточно "зыркать" в монитор, но и периодически смотреть можно. Существуют сервисы для автопинга сайтов, но они вряд ли смогут увидеть разницу, скажем, в тексте (мало ли чего могут писать).

    9. Если у вас существуют комментарии/отзывы и т.п., то включите обязательную модерацию. Ну и сами смотрите чего у вас пишут, чтобы вовремя чистить.

    10. Если используете счета для расчетов или нечто подобное, то снизьте объем денег на этих счетах до приемлемого уровня. Остальное в другие счета, которые никак не фигурируют в сайте (мало ли какой у вас модуль).

    11. Если у вас где-то какие-то лимиты в модулях, то стоит их временно пересмотреть.

    Опять же, навскидку. Вероятно и другие чего подскажут, чай не один тут.
     
    Последнее редактирование: 21 мар 2022
  3. zeecel

    zeecel Пользователь

    Сообщения:
    31
    Симпатии:
    3
    Вырезать из шаблона и контроллера коменты, загрузку файлов из опций(текстовые и что там еще есть, дата вроде, в общем все что с полями), вырезать обратную связь. Вырезать возможность установки оцмода из админки. Задать доступ в админку отдельной ссылкой с парой гет параметров.
    Навесить регулярок на поиск и поля в оформлении заказа, только текст и цифры с пробелом (в лк тоже), на почтовое поле свою регулярку.
    И все равно ломанут через соседний на хостинге вордпресс:D
     
  4. Shureg

    Shureg Пользователь

    Сообщения:
    71
    Симпатии:
    16
    Все вышеперечисленные советы приемлемы в качестве общих советов по безопасности.
    В актуальной ситуации, против "закладок" в модулях, они абсолютно бесполезны.
    Единственный метод для модулей с открытым кодом - внимательное изучение кода, обнаружение и удаление закладок.
    Для "заряженных" модулей с ионкубом лечения нет, только удаление.
     
    zeecel нравится это.
  5. zeecel

    zeecel Пользователь

    Сообщения:
    31
    Симпатии:
    3
    Всегда можно оставить лазейку которую никто не найдет, на хабре недавно чел нашел уязвимость в редакторе
     
  6. devimirochnik

    devimirochnik Продвинутый пользователь

    Сообщения:
    730
    Симпатии:
    100
    Безопасность это не только крутые файерволы, антивирусы и прочее.

    Бэкап защитит ваш сайт? Нет. Но вы сможете быстро откатить сайт назад, если это понадобится. А если не будет бэкапа, то что вы будете делать?

    Добавлено. Или, например, временно воздержаться от установки свежих версий. Существует хорошая старая фраза "функционирует - не трогай". Это то, что может сделать каждый и что позволит уменьшить риски.
     
  7. searchingman

    searchingman Пользователь

    Сообщения:
    40
    Симпатии:
    13
    Хостеры начали рассылать предупреждения. Н-р, такое прислали из SWEB-а

    В последнее время участились случаи вредоносных вставок в программное обеспечение с открытым исходным кодом (open source), направленные на причинение вреда пользователям из России.

    Проблемы встречаются в плагинах для cms, php\js\python-библиотеках, а также целых приложениях.

    Для безопасности ваших проектов рекомендуем:
    • проверить наличие бэкапов, дополнительно сохранить бэкап на локальную машину
    • отключить автообновления ПО
    • временно воздержаться от обновления ПО без острой необходимости
    • перед обновлением любого open source ПО проверять его безопасность: официальные данные часто приходят с опозданием, рекомендуем искать информацию в профессиональных сообществах