|
|
Модератор форума: Yuri_G |
Сообщество uCoz » Вебмастеру » Общие вопросы от вебмастеров » Безопасность панели управления сайтом (как повысить безопасность?) |
Безопасность панели управления сайтом |
Столкнулся с таким явлением, как проникновение постороннего лица в панель управления сайтом и внесение изменений в код сайта.
Вообще, меня удивляет тот факт, что войти в панель управления сайтом можно даже не имея аккаунта в юкозе, достаточно просто знать или подобрать пароль к ПУ. Как подобрали или стырили пароль к ПУ моего сайта, я не знаю, потому что пароль непростой, по левым ссылкам обычно не хожу, антивирус работает. Предложения к разработчикам юкоза: повысить безопасность при входе в панель управления, например следующими способами (включаемыми в настройках или на постоянной основе): 1. Вход в ПУ сайта возможен только залогинившимся администраторам сайта. То есть, окно входа в ПУ доступно только админу сайта, а не всем подряд. 2. Двухэтапная аутентификация с помощью смс (как в гугле). Кто что думает по этому поводу? Мнение разработчиков тоже хотелось бы услышать. Это же не сложно осуществить, особенно пункт 1? Спасибо за внимание и ответы. |
alex-talker, часто администраторы используют один пароль и страдают от этого. Для сайта устанавливать отдельный пароль на вход в Панель управления и вход в панель только с указанных IP-адресов и подсетей является эффективной защитой. Также нужно с определенной периодичностью менять пароль. Больше по безопасности можно прочесть тут |
Так и делаю всегда. Это не помогло. вход в панель только с указанных IP-адресов и подсетей является эффективной защитой. К сожалению, я понятия не имею, какие у меня ip и подсети, потому что они постоянно меняются, поэтому данный вариант не подходит. Хорошо, тогда подскажите, с какой периодичностью стоит менять пароль? Скажем, 12-значный, 16-значный, 20-значный и т.д.? А разве есть трудность в реализации пункта 1? На юкозе этот момент уже реализован в разных вариациях, в настройках прав групп. Разве нельзя доступ к странице входа в ПУ открывать только залогиненным админам? Это на порядок повышает безопасность входа. Или я говорю что-то бредовое? Простите, если что. И спасибо за ссылку, почитаю. |
alex-talker,
Цитата Столкнулся с таким явлением, как проникновение постороннего лица в панель управления сайтом и внесение изменений в код сайта. опишите лучше проблему. почему вы решили, что сайт был вскрыт и по каким признакам (только подробно) вы это определили я не просто так спрашиваю. можно поставить семь ступеней ада на входе в пу, но это может не спасти, ибо панацеи нет, где есть не только сервер, но есть и клиент тоже самое на компьютере. антивирус никогда не являлся панацеей в первую очередь от его пользователя |
webanet,
не понимаю, о чем Вы говорите. и если вы пользуетесь uid профилем для логина администратора на сайте и тем же профилем посещаете чужие сайты нет, так не делаю. FTP не пользуюсь, не знаю даже что это такое. Это факт. Поэтому я предложил очень простой, но эффективный и уже реализованный на сайтах юкоза вариант - запретить вход в ПУ не-админам. И по возможности делать авторизацию через пароль из смс, хотя бы для платных пользователей, в конце концов. Я бы даже оплачивал эти смс, чтобы юкозу не жалко было "со своего кармана" платить. опишите лучше проблему. почему вы решили, что сайт был вскрыт и по каким признакам (только подробно) вы это определили В код сайта (в один из шаблонов) был внедрен код. И узнал я об этом случайно. Добавлено (02 Сен 2015, 21:38:27) Посмотрел лог. Нет там чужого входа в ПУ. Вообще нет входов в ПУ за тот период, когда был внедрен код. Чужих входов вообще нет. И что это значит? |
Подскажите, можно ли штатными средствами скрыть страницу (или окно) входа в ПУ от всех групп, кроме администраторов?
Или запретить вход не-админам. Потому что возникла проблема, и вход в ПУ по сути, защищен плохо. Любой желающий, даже не имеющий аккаунта юкоз, может сидеть подбирать пароли к ПУ. Как по мне, это большая дыра в безопасности сайта. Я предлагал 2 решения, первое очень простое: 1. Скрыть страницу входа в ПУ (или окно входа) от всех групп, кроме администраторов. 2. Сделать авторизацию через смс. Сообщение отредактировал alex-talker - Среда, 02 Сен 2015, 22:04:53
|
| |||
| |||