Инструмент для защиты сайтов - Ваше мнение?

Прошу прощения, за отсутствие в теме - в связи со сменой места жительства, некоторое время не мог принимать участие в диалоге.

Как вернулся в онлайн - почитал тему, окинул немного "освежевшим" взглядом и захотелось просто вкратце описать одну ситуацию из недавних событий.

Сайт на WP. Был взломан, с него распространялись вирусы.

После того, как пришла абуза из датацентра, сайт вычистили, однако он был взломан повторно.

Его снова вычистили, в том числе всю заразу, найденную maldet'ом, обновили WP, сменили все пароли, но сайт снова был взломан - снова абузы, снова чистка сайта... и снова взлом, с последствиями в виде попадания сайта в BL, потерей аудитории и т.д. и т.п.

Случай довольно сложный, по сути владельцу требовалось полностью переустановить WP на новом (чистом) хост-аккаунте, потом перенести туда его тему (шаблон дизайна), тщательно ее проверив, подключить плагины, которые ему нужны (да еще и обсудить, а зачем они ему нужны) и всё еще была вероятность повторного взлома (уязвимость могла быть где угодно, включая плагин, тему и т.д.).

Все это довольно объемная работа, которой сам владелец заниматься не мог и не хотел, а нанимать кого-то - либо "студента", который сделает неизвестно что и как, либо достаточно дорогого специалиста, который проверит код сайта вдоль и поперек и скорее всего разместив сайт на VPS, настроит индивидуально средства защиты (тот же mod_sec и т.п.) и врядли даст гарантии.

Владелец сайта купил лицензию phpsec и попросил помочь с обеспечением безопасности сайта, при этом объяснил, что он не программист, не веб-мастер и просто хочет, чтобы сайт работал и на него могли заходить люди.

После установки и настройки phpsec взломы прекратились.

Далее, благодаря фильтрации запросов, был найден плагин (и конкретный его файл) через который, с большой вероятностью и взламывался сайт.

Есть аналогичная история с сайтом работающим на Joomla - там вообще блокировали файлы от изменений посредством "chattr +i" чтобы в конце концов прекратить если даже не взломы, то хотя бы изменение файлов и распространение вирусом. А потом установили phpsec и он также помог.

Есть другие примеры.

В общем, бывают тяжелые случаи, требующие сложных решений. Phpsec был разработан для того, что бы помочь в таких ситуациях, причем в качестве достаточно простого решения. И он помогает.

Да, он пока не идеален и есть над чем работать. Но работу свою выполняет и имеет достаточно гибкие настройки, для того, чтобы можно было

тот же пхпмайадмин и другие веб-редакторы БД добавить в список исключений фильтрации запросов.

А обезопасить сайт даже содержащий уязвимость и уже неоднократно взламываемый - становится проще.

А в ситуациях, когда обновление и смена паролей не помогает, для человека, который никогда не видел консоль SSH, не знает, что такое phpmyadmin и привык просто нажимать на кнопки - гораздо проще.

Так-что отвечая на вопрос, зачем нужен этот "велосипед" - он проще, чем существующие "мотоциклы", не требует "прав на вождение" и позволяет "добраться до места" тогда, когда "мотоциклом" управлять не умеешь, "такси" слишком дорого, а "автобусы не ходят".

Большое спасибо за дельное замечание. Будет добавлено в ближайшей версии (в качестве опции на выбор - фильтровать или отдавать ошибку).

И вообще функционал фильтрации запросов будет существенно расширен, впоть до возможности указать, какие переменные для какого файла не фильтровать (т.е. выборочные исключения) и автонастройки фильтров/исключений для популярных CMS.

Это, а также другие замечания из темы, обязательно будут учтены в новых версиях.

Отдельное спасибо скептикам - Ваши комментарии предоставили достаточно много пищи для размышлений.

ставить защиту, чтоб отключать? :)

велосипед, но с кучей переключателей, тумблеров и рубильников, которые не-программисту будет всё равно не просто настроить :)

мой знакомый такой же талант - логи апача отключил и путем переключения опций пытается определить и заткнуть дырявый сайт. )))))

Информационная безопасность - это непрерывный процесс, а не

Если

"магический инструмент" становится в его руках просто вредным, т.к. создает ложное чувство уверенности в безопасности, приводит к пренебрежению процедурам обеспечения безопасности (аудит, мониторинг, обновления) и к соответствющим печальным последствиям.

Если источник угрозы не был идентифицирован при аудите, а лишь

можно сказать, что не было сделано ровно ничего, т.к.

следует понимать, как временно перестали обнаруживаться.

Как он поможет в таком, допустим, случае?

🍿

Что мешает сделать скрипт для архивации (бекапа) сайта, например разв сутки, и сравнения чек сумм ?

Ох уж эти тяжелые случаи 😂

Типа сломали замок и ограбили банк.

Владелец повесил новый замок, а его опять сломали и ограбили.

Опять новый замок и опять сломали и ограбили..

Владелец банка объяснил, что он не банкир..

постоянно разные чексумы для динамических сайтов.

Так "динамические" директории можно не чекать, а выполнение скриптов в них запретить.

1. загружаемые картинки. аплоад папки обычно имеют разрешение на запись.

2. база данных так вообще чуть ли не постоянно меняется. её вообще не бекапить?

ПС. раз на то пошло, то в неизменяемых директориях можно вообще глобально рид-онли ставить и не париться. или овнера менять недоступного для вебсервера.

1. Так я говорю, запретить в них выполнение скриптов :)

2. Файлы баз данных обычно лежат вообще в недоступном для веб-сервера месте

через залитый шелл в БД можно тоже много интересного понапихать.

для этого не нужно лезть в недоступные места :)