Leaderboard

Popular Content

Showing content with the highest reputation on 03/11/14 in all areas

  1. 1 point
    Chernetskiy
    А я-то думаю, чего у меня обновление с 10-го раза установилось...? А вообще, глядя на то, как мой сайт на Wordpress ежедневно пытаются взломать (получаю отчеты и блокирую IP), приходит на ум ряд моментов, которые стоит применить в CMS Sitebill: - изменить страницу входа в админу с http://my-site/admin на что-то иное, отличающееся от слова admin или administrator, это первые страницы, которые пытаются взломать; - не использовать в качестве имени администратора имена "admin", "administrator", это первое, что лезет на ум хакеру или роботу, на днях пароль к имени "admin" на моем сайте пытались подобрать 1280 раз; - изначально требовать сложный буквенно-цифровой пароль из 10 символов и более... - использовать сложную капчу, хотя похоже ломается любая; - желательна двухуровневая аутентификация, либо через подмену страницы входа, защищенную паролем (уже работает в Joomla), или через подтверждение пароля вводом полученного кода в SMS, либо через генератор вопрос-ответ, как например при использовании приложений для смартфонов "Bitrix OTP" (для 1С Битрикс) или "E-num" (для WebMoney) - внедрить настраиваемую блокировку IP при десятке неудачных попыток входа в админку, блокировка на сутки с уведомлением админа по e-mail и указанием IP взломщика, для принятия решения администратором и внесения IP в карантин или в черный список, на всегда. Например для Wordpress есть соответствующий модуль Wordfence Scan, который позволяет делать это и не только, хоть целиком доступ из определенной страны заблокировать можно. Попутно, модуль проверяет файлы Wordpress и установленных плагинов на подмену (сравнивая с официальными файлами разработчика), имеет кучу гибких настроек автоматических действий и предупреждений, настраиваемую систему мониторинга и защиты, вплоть до полной блокировки доступа на сайт в случае DDOS атак. При существующем варианте "защиты" в Sitebill, нельзя быть уверенным, что в вашем сайте уже не пасутся хакеры... А спустя неделю-полгода случайно обнаружить свой сайт в списке блокировки как распространителя СПАМа или участника DDOS атаки...