Как защитить сайт и админку от взлома и вирусов?

Разместить его на домашнем компьютере, отключенном от интернета, и любоваться на него. Больше никак.

Это если админ хостинга. А админы сайта обладают (должны обладать, точнее) более широкой квалификацией и в из задачи входит гораздо больший круг задач. Собсно, входит всё, что касается безпроблемной работы сайта. В тч и обеспечение защиты и поиск-устранение уязвимостей.

Только комплексный подход может дать надёжные гарантии.

1. Жёсткая фильтрация запросов к сайту по типам, адресам и содержимому.

С помощью htaccess или файрвола.

Индивидуальная адаптация с подходом исключительного "белого списка" на POST-запросы, запросы с GET-параметрами - для многих может сразу дать 98+% эффективности.

Поскольку блокирует сами возможности для использования уязвимостей.

2. Исключение лишних данных из запросов.

Некоторые уязвимости используют неправильную обработку заголовков USER-AGENT, X-FORWARDED-FOR и некоторых других.

Большинству сайтов они не нужны и могут быть просто заранее вырезаны перед попаданием данных к CMS.

3. Минимально необходимые права на все файлы.

Некоторые уязвимости взломщик может использовать только, если одновременно есть проблемы с правами.

4. Готовность к тому, что возникнет ситуация, когда все защиты не сработали и взлом произошёл.

- Контроль работоспособности сайта

- Постоянные антивирусные сканирования файлов и БД

- Контроль за всеми изменениями в потенциально опасных файлах

- Внешний контроль за появлением редиректов, новых js-вставок и исходящих ссылок

- Обеспечение возможности быстро восстановиться после проблем из резервной копии

5. Постоянное обновление CMS, плагинов и сопутствующих скриптов - разумеется, тоже помощь.

Но, как и отслеживание багтрекеров, - это требует постоянной ручной работы, в результате чего является самым дорогим методом.

Который в полноценном виде доступен только достаточно крупным проектам.

А для стандартных, в основном, используется после взлома.

Вы должны следовать основным требованиям защиты, как указано ниже:

Убедитесь, что все ваши платформы или сценарии обновлены, что означает, что всегда используйте новейшие версии вашей платформы и скриптов, чтобы свести к минимуму риск.

Регулярно создавайте резервные копии файлов.

Обновите плагины безопасности веб-сайта, чтобы предотвратить попытки взлома.

Используйте SSL-сертификат для включения HTTPS, Если ваш сайт принимает конфиденциальную информацию посетителей, такую ​​как номера кредитных карт или контактные данные.

Используйте параметризованные запросы с SQL Server, чтобы избежать взломов SQL-инъекций.

Используйте надежный пароль с сочетанием специальных символов, цифр и букв.

Придумать надёжные пароли к админ-панели, не сохранять их в браузере, не покупать слишком уж дешёвый хостинг, не использовать старые версии CMS.

Если вопрос еще актуален, можете посетить мероприятие на эту тему - /ru/forum/970807

Меня долгое время выручает хотинг TimeWeb, нареканий нет, но тут уже дело привычки для каждого.

Это уже ближе к тестерам задача, ИМХО 🍿

А чего тут сканировать-то? ;)

rsync -rvzc user@server:/path_site/ /path_backup/

В /etc/aliases поставить правильную почту и в суточный крон...

В результате постоянно имеем свежий бекап с минимальным расходом трафика и ежедневный отчёт в почте об изменившихся файлах ☝

Спасибо, приятно видеть упоминание :)

Включимся в обсуждение, дав пару базовых рекомендаций:

• Обновляйте CMS и их плагины/модули/расширения. Даже на тестовых или забытых сайтах внутри аккаунта хостинга;
• Не устанавливайте взломанные nulled темы, движки, плагины. Они могут содержать уязвимые элементы;
• Следите за устройствами, с которых редактируете сайт. Подойдёт любой популярный антивирус с регулярными проверками по актуальным вирусным базам.

По последнему: в этом году мы сделали раздел "Веб-консоль" в Панели хостинга.

Теперь по SSH можно удобно работать без установки PuTTY или Git Bash прямо внутри Панели. Это более безопасный вариант для работы с сайтом. Рекомендуем!