Вы никогда не задавались вопросом: почему чаще всего ломают либо самописные движки, либо очень популярные Open Source CMS. Подумайте, и ответьте и на такой вопрос: в Вашей системе точка входа infdex.php? Или такой: в Вашей системе административная панель находится тут http://sitename/admin или тут http://sitename/administrator/ , может быть тут http://sitename/apanel/? Продолжать дальше смысла не имеет, так как Вы уже догадались, я хочу поговорить о стандартах. Эта статью я также отнес к безопасности, не просто так, натолкнул меня на нее просмотр логов, попыток взлома ресурса, за который я, как программист, отвечаю.
Что же такого я увидел? Попытаю Вас еще немного. Как вы считаете, кто чаще всего взламывает сайты? Супер хакеры, с семью пядями во лбу или горе программисты, которые верно подобрали sql инъекцию?
Ответ будет другой: сайты взламывают программы!
Множество софта заточено под то, чтобы обшаривать интернет, как пауки сканировать ссылки, находить сайты. Изучать их, по косвенным признакам находить версию и название системы. А дальше в ход вступает простая база багов данной системы, доступная кстати, на официальном сайте разработчиков в виде баг репортов.
Сканер проверяет одну уязвимость за другой, проверяет все не обновленные, не залатанные дырки. Это неприятная и совсем неблагодарная для человека работа, у всех людей вместе взятых на земле на нее бы ушли годы. А Pentium 3 справляется с ней за ночь.
Однако, если дырок не найдено, и разработчики CMS системы не зря едят свой хлеб, то в дело вступают другой класс программ: буртфорсеры. Информацию о том, куда и что посылать им любезно предоставляете Вы, не убирая из html упоминаний о названии CMS.
Теперь нужно наверно вспомнить, что логин на Вашем любимом блоге такой: admin или administrator, или какой-нибудь броский vadim, тоже не предел безопасности. Нет? Но скорее всего, что-то рядом?!
На одном весьма полезном ресурсе, посвященном безопасности в сети http://comp-security.net/ прочитал, что у хакеров есть базы с популярными паролями. Слиты они с популярных ресурсов. Вспомнить хотя бы недавний угон хакерами базы фотошопа (да есть еще программисты, которые хранят в базе пароли). qwerty и 12345 тут во главе списка, но не стоит думать, что если у Вас 12345q, то его там нет. Он на 100001 позиции, но брутфорсу ведь все равно. Рано или поздно он до нее доберется.
К чему этот пост? Система, которая стояла на моем ресурсе, была написана не мной и писала ее начинающая на тот момент самоучка-программистка. Как в других системах называют точку входа, она тогда еще не знала и вход в административную панель у нее начинался не на 'a'.
В итоге, сотни и тысячи логов с прозвонкой слабых мест, попытки найти хотя бы админку. И ничего.
Да, если за дело возьмется человек, то он найдет сотню дырок в ее коде, но еще раз повторюсь, если Ваш сайт никому не заказывали и не платили за взлом, то ломать его будет (и уже в данный момент ломает) какой-нибудь бот. И если хоть что-то, что я написал выше относится к Вашему сайты, то стоит задуматься. Для начала, смените пароли на рандомные. Key Pass Вам в помощь. А уж логин admin и administrator - это прямое приглашение погостить на сайте.
Безопасность интернет сайта часто зависит не от высокого уровня программиста, а от того насколько сложный пароль придумывает пользователь
Комментарии
И менять это имя каждый сутки кроном и новое название папки отправлять на специально отведённый e-mail. Хотя нет первого пункта хватит вполне. Остальное это уже через чур. Хотя идея конечно интересная.)
Для особо наглых время блокировки можно увеличить в два раза.