- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Прошу прощения, за отсутствие в теме - в связи со сменой места жительства, некоторое время не мог принимать участие в диалоге.
Как вернулся в онлайн - почитал тему, окинул немного "освежевшим" взглядом и захотелось просто вкратце описать одну ситуацию из недавних событий.
Сайт на WP. Был взломан, с него распространялись вирусы.
После того, как пришла абуза из датацентра, сайт вычистили, однако он был взломан повторно.
Его снова вычистили, в том числе всю заразу, найденную maldet'ом, обновили WP, сменили все пароли, но сайт снова был взломан - снова абузы, снова чистка сайта... и снова взлом, с последствиями в виде попадания сайта в BL, потерей аудитории и т.д. и т.п.
Случай довольно сложный, по сути владельцу требовалось полностью переустановить WP на новом (чистом) хост-аккаунте, потом перенести туда его тему (шаблон дизайна), тщательно ее проверив, подключить плагины, которые ему нужны (да еще и обсудить, а зачем они ему нужны) и всё еще была вероятность повторного взлома (уязвимость могла быть где угодно, включая плагин, тему и т.д.).
Все это довольно объемная работа, которой сам владелец заниматься не мог и не хотел, а нанимать кого-то - либо "студента", который сделает неизвестно что и как, либо достаточно дорогого специалиста, который проверит код сайта вдоль и поперек и скорее всего разместив сайт на VPS, настроит индивидуально средства защиты (тот же mod_sec и т.п.) и врядли даст гарантии.
Владелец сайта купил лицензию phpsec и попросил помочь с обеспечением безопасности сайта, при этом объяснил, что он не программист, не веб-мастер и просто хочет, чтобы сайт работал и на него могли заходить люди.
После установки и настройки phpsec взломы прекратились.
Далее, благодаря фильтрации запросов, был найден плагин (и конкретный его файл) через который, с большой вероятностью и взламывался сайт.
Есть аналогичная история с сайтом работающим на Joomla - там вообще блокировали файлы от изменений посредством "chattr +i" чтобы в конце концов прекратить если даже не взломы, то хотя бы изменение файлов и распространение вирусом. А потом установили phpsec и он также помог.
Есть другие примеры.
В общем, бывают тяжелые случаи, требующие сложных решений. Phpsec был разработан для того, что бы помочь в таких ситуациях, причем в качестве достаточно простого решения. И он помогает.
Да, он пока не идеален и есть над чем работать. Но работу свою выполняет и имеет достаточно гибкие настройки, для того, чтобы можно было
тот же пхпмайадмин и другие веб-редакторы БД добавить в список исключений фильтрации запросов.
А обезопасить сайт даже содержащий уязвимость и уже неоднократно взламываемый - становится проще.
А в ситуациях, когда обновление и смена паролей не помогает, для человека, который никогда не видел консоль SSH, не знает, что такое phpmyadmin и привык просто нажимать на кнопки - гораздо проще.
Так-что отвечая на вопрос, зачем нужен этот "велосипед" - он проще, чем существующие "мотоциклы", не требует "прав на вождение" и позволяет "добраться до места" тогда, когда "мотоциклом" управлять не умеешь, "такси" слишком дорого, а "автобусы не ходят".
Более корректное поведение, в случае срабатывания фильтра, всё же, как и в ModSecurity, выдача кода ошибки и не выполнение кода, чем потом вебмастеру <!--PHPSECURED--> из базы вычищать.
Большое спасибо за дельное замечание. Будет добавлено в ближайшей версии (в качестве опции на выбор - фильтровать или отдавать ошибку).
И вообще функционал фильтрации запросов будет существенно расширен, впоть до возможности указать, какие переменные для какого файла не фильтровать (т.е. выборочные исключения) и автонастройки фильтров/исключений для популярных CMS.
Это, а также другие замечания из темы, обязательно будут учтены в новых версиях.
Отдельное спасибо скептикам - Ваши комментарии предоставили достаточно много пищи для размышлений.
тот же пхпмайадмин и другие веб-редакторы БД добавить в список исключений фильтрации запросов.
ставить защиту, чтоб отключать? :)
Будет добавлено в ближайшей версии (в качестве опции на выбор - фильтровать или отдавать ошибку).
велосипед, но с кучей переключателей, тумблеров и рубильников, которые не-программисту будет всё равно не просто настроить :)
После установки и настройки phpsec взломы прекратились.
мой знакомый такой же талант - логи апача отключил и путем переключения опций пытается определить и заткнуть дырявый сайт. )))))
Информационная безопасность - это непрерывный процесс, а не
купил лицензию phpsec и попросил помочь
Если
человек, который никогда не видел консоль SSH, не знает, что такое phpmyadmin и привык просто нажимать на кнопки
"магический инструмент" становится в его руках просто вредным, т.к. создает ложное чувство уверенности в безопасности, приводит к пренебрежению процедурам обеспечения безопасности (аудит, мониторинг, обновления) и к соответствющим печальным последствиям.
Если источник угрозы не был идентифицирован при аудите, а лишь
был найден плагин через который, с большой вероятностью и взламывался сайт.
можно сказать, что не было сделано ровно ничего, т.к.
следует понимать, как временно перестали обнаруживаться.
Как он поможет в таком, допустим, случае?
🍿
Что мешает сделать скрипт для архивации (бекапа) сайта, например разв сутки, и сравнения чек сумм ?
Ох уж эти тяжелые случаи 😂
Типа сломали замок и ограбили банк.
Владелец повесил новый замок, а его опять сломали и ограбили.
Опять новый замок и опять сломали и ограбили..
Владелец банка объяснил, что он не банкир..
Что мешает сделать скрипт для архивации (бекапа) сайта, например разв сутки, и сравнения чек сумм ?
постоянно разные чексумы для динамических сайтов.
постоянно разные чексумы для динамических сайтов.
Так "динамические" директории можно не чекать, а выполнение скриптов в них запретить.
Так "динамические" директории можно не чекать, а выполнение скриптов в них запретить.
1. загружаемые картинки. аплоад папки обычно имеют разрешение на запись.
2. база данных так вообще чуть ли не постоянно меняется. её вообще не бекапить?
ПС. раз на то пошло, то в неизменяемых директориях можно вообще глобально рид-онли ставить и не париться. или овнера менять недоступного для вебсервера.
1. Так я говорю, запретить в них выполнение скриптов :)
2. Файлы баз данных обычно лежат вообще в недоступном для веб-сервера месте
2. Файлы баз данных обычно лежат вообще в недоступном для веб-сервера месте
через залитый шелл в БД можно тоже много интересного понапихать.
для этого не нужно лезть в недоступные места :)