Цитаты из книги «Создание сайтов»

Если у вас есть обычный веб-сайт, вся его базовая функциональность должна быть доступна с распространенных мобильных устройств, каким бы образом многоформатность ни была достигнута.

Полезно знать «Высокие нагрузки в Вебе. Интересные ссылки»: http://highloadblog.ru/articles/15.html Mindmap по разработке высоконагруженного проекта: http://www.mindmeister.com/ru/138239468/highload-xmind «Десять известных масштабируемых архитектурных шаблонов»: http://www.insight-it.ru/masshtabiruemost/10-izvestnykh-masshtabiruemykh-arkhitekturnykh-shablonov/ «Проектирование высокопроизводительных систем: о чем не расскажут в книгах» (рубрика «Вредные советы»): http://habrahabr.ru/post/171433/ PHP Highload: http://www.phphighload.com/ «Кэширование в веб-приложениях: что, где, когда»: http://lib.custis.ru/Кэширование_в_веб-приложениях_-_что,_где,_когда «Рассылка SeoPult. Выпуск № 95: защита от DDoS-атак»: http://seopult.ru/subscribe.html?id=98 «DDoS: катаклизм на заказ, часть I»: http://seopult.tv/programs/moneymaking/ddos_kataklizm_na_zakaz/ «DDoS: катаклизм на заказ, часть II»: http://seopult.tv/programs/moneymaking/ddos_kataklizm_na_zakaz_2/ «История одной DDoS-атаки на роутер и методы защиты Juniper routing engine»: http://habrahabr.ru/post/186566/ «DDoS-атаки первого полугодия 2013 года»: http://www.securelist.com/ru/analysis/208050810/DDoS_ataki_pervogo_polugodiya_2013_goda Журнал «Хакер», № 11/12 (166, тематический номер о DDoS): http://www.xakep.ru/magazine/xa/166/default.asp «Предотвращение атак с распределенным отказом в обслуживании (DoS)»: http://www.cisco.com/web/RU/netsol/ns480/networking_solutions_sub_solution_home.html

Что делать, если атака началась Распознать мощную атаку, когда она обрушилась на вашу площадку, сравнительно просто. Сайт начинает грузиться медленно или вообще отказывается открываться, обычно с выпадением «пятисотых» ошибок (наиболее часто – 502-й и 504-й). Резко подскакивает трафик, возрастает нагрузка на серверное оборудование с увеличением числа пакетов и скорости их поступления. Так или иначе, возникает главный вопрос: «Что делать?» Прежде всего нужно поднять по тревоге ваших технических специалистов и доподлинно установить факт нападения. При первичном подтверждении угрозы – сразу же связаться с хостинг-провайдером. Можно попытаться блокировать IP-адреса, с которых идет атака, серверными утилитами, например iptables и iproute в Linux или pf и ipfw в BSD. Правда, помогает это разве что в случае с лобовым и не слишком сильным ударом. Попутно постарайтесь восстановить контроль над сервером

Полезно знать «Как сделать сайт безопасным и почему это важно для продвижения»: http://seopult.tv/programs/conference/yandex_kak_sdelat_sayt_bezopasnym/ Справка службы «Яндекс. Вебмастер» (см. раздел «Безопасность сайта»): http://help.yandex.ru/webmaster/ Портал о компьютерной безопасности SecurityLab: http://www.securitylab.ru «Стандарты безопасности при разработке интернет-сайтов и веб-приложений (OWASP)»: http://www.siteprojects.ru/blog/?p=1391 Open Web Application Security Project (стандарты веб-безопасности): https://www.owasp.org «Профилактика SQL-инъекций»: http://habrahabr.ru/post/87872/ «Типы XSS-уязвимостей»: http://wiki.auditory.ru/Типы_уязвимости_XSS «Попытка номер раз создать почти идеальный. htaccess»: http://habrahabr.ru/post/154643/ «Рассылка SeoPult. Выпуск № 85: пути решения проблем с вредоносным кодом на сайте»: http://seopult.ru/subscribe.html?id=85 «Как вылечить зараженный сайт» («Яндекс. Помощь»): http://help.yandex.ru/webmaster/?id=1116613

• Проштудируйте раздел «Как защитить сайт от заражения?» в справке службы «Яндекс. Вебмастер». И возьмите на вооружение все рекомендации из нее. Таким образом вы убережете себя от многих опасностей. • Непременно подключите сайт к «Яндекс. Вебмастеру». Когда «Яндекс» обнаруживает признаки заражения на ресурсе, он оперативно подает сигнал. Вычистив вредоносный код, вы сможете воспользоваться функцией «Перепроверить», чтобы удостовериться в успехе санитарного мероприятия.

• Регулярно проверяйте сайт на вшивость сами, с помощью своих технических специалистов. Кроме того, совершенно оправданно привлечение сторонних тестировщиков на платной основе, в первую очередь перед полноценным запуском сайта. Целые орды желающих «попинать Веб» бродят, скажем, на forum.antichat.ru. Немало их и на Fl.ru (ранее Free-lance.ru). В данном случае тройное внимание уделяйте отзывам о работе таких специалистов, их реноме. Гораздо лучше, если вам лично, по сарафанному радио, порекомендуют одного такого умельца или даже команду.

• Используйте сервисы – сканеры уязвимостей. Metasploit Framework (http://www.metasploit.com), Tenable Nessus (http://www.tenable.com/products/nessus), XSpider (http://www.ptsecurity.ru/xs7/concept/), Zed Atack Proxy (https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project) – в числе самых известных из них. Часть из них сравнительно проста в эксплуатации, часть же, например Metasploit Framework, проявит всю свою мощь только под присмотром красных программистских глаз. • Проверяйте файлы сайта на вирусы. Например, с помощью следующих систем: www.unmaskparasites.com, http://vms.drweb.com/online/, www.2ip.ru/site-virus-scaner/, www.antivirus-alarm.ru/proverka/. • Пусть ваши технические специалисты изучают конкретные типы уязвимостей и предусматривают защиту от них.

Закрывайте любые соединения после того как они перестают быть вам нужны. Чаще всего, вероятно, вы будете иметь дело с загрузкой файлов на сервере по протоколу FTP. Так вот, «залили» документ – отсоединились. Лишние, не используемые вами в работе соединения закройте через настройки файервола и сетевую инфраструктуру. • Используйте защищенные протоколы SFTP и SSH. • Контролируйте права доступа к конфигурационным файлам, административной зоне и другим критически важным частям сайта. Чтобы потом не вздыхать: «Слона-то я и не заметил». Четко выделяйте группы пользователей и разграничивайте права каждой. • Следите за конфигурацией программного обеспечения на веб-сервере. В случае с Apache повышенное внимание уделяйте. htaccess (см. блок «Полезно знать»). • Анализируйте лог-файлы, ведущиеся на сервере. По ним, обладая определенными навыками, легко отслеживать попытки взлома.

Вообще, предпочтительно использовать минимум внешних плагинов и модулей: часто бреши кроются именно в них. Инсталлировав движок, не забудьте удалить установочные и отладочные скрипты. При работе со многими CMS (особенно WordPress и Joomla) нелишним будет убрать страницу входа в административную зону со стандартного места. • С железной периодичностью делайте резервные копии сайта (бэкапы). Само собой, не только файловой системы, но и баз данных. Советуем не полагаться на то, что сделанные хостером бэкапы будут у него в целости и сохранности (мало ли что случится с его дата-центром). Сохраняйте их не на одном носителе. Оптимально, если используются внешние накопители: в конце концов, ваш домашний и рабочий компьютеры не ограждены на все сто процентов от заражения и взлома.

Грубая ошибка – использовать один пароль на все случаи жизни. Еще грубее – не менять пароли несколько раз в год (лучше со строго заданной периодичностью, чтобы это вошло в привычку). Не храните логины и пароли в файлах на компьютерах, с которых работаете, в почте и в FTP-менеджерах. И конечно, не держите их на виду трогательно написанными на бумажке. Не ленитесь каждый раз вводить эти две комбинации знаков заново, решительно отвергая предложения браузера запомнить их. • Будьте вдвойне осторожны при использовании сторонней CMS. Многое зависит от того, насколько она популярна и кем курируется. Следует регулярно обновлять движок. Кстати, желательно скрыть от посторонних глаз упоминание о версии системы и ее плагинов: многие взломщики, особенно начинающие, последовательно выискивают CMS конкретных редакций, поскольку знают, что в них еще не закрыты определенные уязвимости.