• Пароли

• Бэкапы

• Защита электронных денег

• О важности хорошего хостинга

• HTML– и JS-код в комментариях

• Диверсификация рисков

• Если вдруг что-то случится с вами?

• Полезные ссылки

Даже пещерный человек понимал, что мало добыть на охоте звериную тушу – нужно еще и суметь защитить свое право на нее перед другими. Современному манимейкеру, помимо зарабатывания денег, стоит задуматься, как бы эти деньги сохранить – да понадежнее. Люди не склонны думать о безопасности до тех пор, пока не случится непоправимое. Потом можно обвинять кого угодно: себя, что заранее обо всем не подумал; злоумышленника и его маму за то, что вообще появились на свет; бывалых коллег, что не предупредили; и «судьбу-индейку» за то, что «карта так легла». Опасности, которые поджидают манимейкера почти на каждом шагу, не всегда очевидны и могут долгое время не проявлять себя. Но лишь до тех пор, пока уровень заработка не станет привлекательным для злоумышленников, которые не преминут воспользоваться дырами в безопасности вашего сайта, платежной системы, а зачастую и законодательства.В этой главе мы поговорим о том, как обеспечить себе спокойный сон, зная, что ваш доход надежно защищен от сетевых мошенников.ПаролиСамые простые вещи зачастую самые важные. Надежные пароли от панели управления хостингом, FTP-сервера и почты, на которую зарегистрирован домен, – первая и самая главная линия вашей защиты. Если хотя бы один из этих паролей будет взломан, ваш сайт и весь заработок с него окажутся под серьезной угрозой.Элементарные правила использования паролей.• Никогда не храните пароли в текстовом файле или в письмах в своем почтовом ящике.• Не сохраняйте пароли в браузере или FTP-клиенте.• Пароли должны быть длинными и сложными. Да, их нужно помнить, и да, их потом долго вводить.• Регулярно меняйте пароли. Для FTP-сайта и почты, на которую он зарегистрирован, – раз в месяц.• Проведите аудит своих паролей при помощи программы Windows Password Analyser или подобного сервиса.Не так давно, после взлома сети PSN, в сети появился торрент-файл с длинным списком паролей пользователей сервисов Sony. Как оказалось, культура использования паролей у большинства пользователей не то что ужасна, а отсутствует напрочь. Вот лишь некоторые результаты:• Менее 1 % паролей содержат не буквенные и не числовые символы.• Всего 4 % паролей состоят из трех и более типов символов (имеются в виду прописные, строчные буквы, цифры и прочие символы).• 93 % паролей имеют длину от шести до восьми символов. Примерно такую минимальную длину требует большинство сайтов, и мало кто стремится выходить за эти пределы.• Почти половина всех паролей состоит только из букв нижнего регистра.• Если пользователь зарегистрирован сразу в нескольких службах, в 92 % случаев он использует везде один и тот же пароль.Чем сложнее пароль – тем больше машинного времени требуется на его подбор, а мощности компьютеров растут с каждым днем. То есть реального времени на взлом паролей требуется все меньше ( конечно, только в случае брутфорса. Brute force, или метод «грубой силы», – метод решения задачи путем перебора всех возможных вариантов). Поэтому самый главный совет по составлению пароля прост: пароль должен быть таким, чтобы вы сами могли запомнить его с большим трудом.И не храните пароли на компьютере. Есть много бесплатных программ, позволяющих хранить все свои пароли в зашифрованном виде – так, что вам придется помнить только один главный пароль, а взломать остальные будет практически невозможно. Попробуйте программы KeePass или Password Safe.БэкапыЛюди делятся на две группы: те, кто уже делает бэкапы, и те, кто еще не знает на собственном опыте, что такое потерять важные данные. Резервное копирование отнимает время, но для любой платформы можно настроить автоматический бэкап раз в неделю, а то и чаще. Чем больше обновляется сайт – тем чаще нужно делать резервные копии.Самые ответственные веб-мастера регулярно держат бэкапы в DropBox\'e, рассылают архивы себе на почту и даже записывают их на DVD.Даже если ваш провайдер объявляет себя самым надежным в мире и дает всевозможные гарантии, отказываться от бэкапов не стоит. Так, в апреле 2010 года дата-центр «Оверсан-Меркурий» отключил серверы хостившейся у них компании «Макхост», что привело к отключению тридцати тысяч сайтов. Ситуацию удалось исправить, и крупные убытки в итоге не понесли ни хостинг, ни его клиенты. Однако это был тревожный знак, что даже сайты, которые хостятся у одного из крупнейших провайдеров России, не могут чувствовать себя в безопасности и должны всегда иметь актуальные резервные данные.Защита электронных денегПрибыль от большинства видов заработка веб-мастер получает электронными деньгами. Если из вашего электронного кошелька исчезнет значительная сумма, можно очень долго писать в саппорт и приводить доказательства вашей непричастности – это вряд ли поможет, поверьте на слово. Поэтому уже заработанные деньги стоит хранить с особой бережностью.Шесть простых правил:1. Не пренебрегайте стандартными средствами защиты WebMoney:• подтверждение транзакций через СМС;• регулярное обновление версии ПО;• блокировка по IP.2. Не храните файл ключей на компьютере.3. При возможности используйте для WebMoney Keeper Classic отдельный компьютер.4. Не оставляйте WebMoney Keeper Classic открытым без необходимости.5. Регулярно проверяйте компьютер на вирусы и трояны.6. Не указывайте свои реквизиты при небезопасном соединении.О важности хорошего хостингаНекоторые не очень добросовестные хостинги при покупке домена регистрируют его на себя, якобы «для простоты». В результате пользователь фактически не является хозяином своего доменного имени. И если хостинг решит присвоить сайт себе, доказать что-то кому-то будет невозможно.Для хостинга формальное владение доменом станет мощнейшим аргументом давления, если вы будете не вовремя продлевать регистрацию или захотите сменить хостинг. Поэтому обязательно «отбивайте» у хостинга свое доменное имя и регистрируйте его на себя.Чем может закончиться переписка с хостингом, если сразу правильно не оформить домен, вы можете прочитать в статье «Зачем хостинг-провайдеры регистрируют домены на себя?» (адрес вы найдете в «Полезных ссылках» к данной главе).HTML– и JS-код в комментарияхЕще одна возможность для взлома появляется в случае, если оставить в настройках CMS возможность внедрения в комментарии работающих фрагментов кода HTML или JavaScript. Например, в CMS DLE эта опция по умолчанию активирована.Наиболее распространенным вирусом такого рода является iframe-вирус. Состоит из нескольких строчек кода вида . Все, что он делает, это ворует пароли из вашего FTP-клиента. Располагаться может в любом из файлов, чаще всего – сразу во многих.Что делать, если сайт оказался заражен?1. Меняем пароль в панели управления хостингом.2. Удаляем пароль, сохраненный в FTP-клиенте. Меняем пароль и отныне вводим его вручную.3. Заходим на FTP, сортируем все файлы по дате последнего изменения. Зараженными, скорее всего, окажутся файлы, измененные последними, и даты последнего изменения будут совпадать или близки друг к другу.4. Особое внимание уделяем файлам index.php, index.html и файлам *.js, а также участки кода со счетчиками и рекламными блоками.5. Смело удаляем все подозрительные участки, а также «простыни» вида «NTNE QUQ5KSsx031pZigkUjMwQzEOOTZEMD».Вредоносный код – не такая уж редкая проблема. Поэтому в инструментарии для веб-мастеров в «Яндексе» и Google есть утилита для проверки сайта на наличие червей, эксплоитов, подозрительных java-скриптов и тому подобного. При наличии таких участков эти сервисы прямо укажут вам строчку кода, в которой может содержаться зловредная программа. Подобно обычным антивирусам, их базы регулярно обновляются.Наиболее надежными в плане безопасности считаются сайты, написанные с использованием Python и Ruby on Rails, так как в них у программиста изначально не так много шансов оставить дыру в коде. Если вы работаете с РНР, обязательно ознакомьтесь с основными правилами безопасного программирования.Пример внедрения не особо вредоносного кода в комментарии. В одной из давних версий движка Livejournal была дыра, благодаря которой можно было оставить в комментарии кусочек кода, и весь экран заполнялся каким-то повторяющимся изображением. Стоит ли говорить, что как только это стало известно, на самые популярные журналы тут же набежала орда троллей и начала захламлять все посты непристойными картинками. Сейчас эта ошибка исправлена.