Модератор форума: webanet  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Безопасность аккаунта (настройки и предостережения)
Безопасность аккаунта
Модератор форума
Сообщение # 1 | 23:20:27
В системе uCoz очень большое значение уделяется безопасности, как и самой системы, так сайтов находящихся в самой системе.
Первичные настройки, то есть те настройки безопасности которые присутствуют на момент создания сайта являются наиболее оптимальными для безопасного функционирования сайта.
Безопасность сайта это комплекс мер, которые осуществляются за счет серверной стороны (со стороны системы) и за счет клиентской стороны (со стороны владельца сайта). Если со стороны системы можно гарантировать безопасность сайтов от взломов и прочих неприятностей, то со стороны клиента могут быть вариации.
Рассмотрим все настройки сайта, которые отвечают за безопасность.

Параметры безопасности
Панель управления - Админ-бар - Безопасность
Максимальное количество одновременных входов в панель управления: 1

Пароль от панели управления не следует давать никому! В идеальном случае, в панель управления должен иметь доступ только владелец сайта. Если в панель управления сайтом есть доступ другому человеку, то можно значение изменить на 2. Делается это для возможности одновременного входа в панель управления. В противном случае сможет зайти или один или другой

Тайм-аут сессии: 1 час

Данную настройку лучше оставить как есть, так как при длительном отсутствии активности в панели управления начнет срабатывать защита. Даже не смотря на защиту по тайм-ауту, вы должны помнить золотое правило: если вы закончили работу в панели управления, или вам нужно отойти, или вы решили доделать что-то позже, то всегда обязательно нужно выходить из ПУ путем нажатия кнопки выход!

Уровень безопасности сессии по IP-адресу:
Данная настройка отвечает за привязку IP к сессии. То есть вы зашли в панель управления с определенного IP, а тайм-аут сессии настроен на 1 час, в течении этого часа ваш IP будет привязан к данной сессии. При настройках точной фиксации смена IP приведет к прерыванию сессии и вас выбросит из панели управления на страницу входа с ошибкой
Изменился Ваш текущий IP-адрес. Изменить параметры привязки сессии можно в разделе "Безопасность" - "Параметры безопасности".

По умолчанию стоит средний (фиксация сети класса С). Если ваш провайдер предоставляет вам статичный IP адрес, то можно оставить настройку без изменений, так же если у вас динамический IP и при смене IP меняется только последняя цифра. Если у вас меняются последние две цифры, то можно сменить настройку на низкий уровень(фиксация класса В) . Если же у вас может меняться IP полностью можно поставить без фиксации, при этом контроль по IP на сессию будет снят, что снизит безопасность.
Настройку Высокий ( фиксировать по IP точно) ставить не рекомендуется, если вы не уверены в том, что ваш IP не изменяется с определенной периодичностью.
Вход в панель только с указанных IP-адресов и подсетей:
Данная настройка разрешает вход только с указанного вами IP. Заход в панель управления с других IP (которых нет в списке) будет невозможен Это самая надежная настройка безопасности, но рассчитана она только на статичные IP.

Так же во вкладке безопасность можно сменить пароль к FTP, пароль к панели управления, произвести смену владельца сайта и просмотреть логи.


Секретный вопрос и ответ и пароль аккаунта

Вы должны чётко понимать, что секретный вопрос и ответ - это ваш ключ к аккаунту. С его помощью можно сменить пароли аккаунта, восстанавливать пароль от аккаунта, можно произвести смену владельца сайта, устанавливать пароль на FTP, можно удалять модули, а так же можно полностью удалить сайт. Поэтому секретному вопросу и ответу нужно придавать наиважнейшее значение. Секретный вопрос и ответ наследуется сайтом из вашего uID профиля. То есть какой секретный вопрос в настройках безопасности uID профиля, такой будет и на созданном сайте
Секретный вопрос и ответ от вашего аккаунта не должен знать никто кроме вас! Сам секретный вопрос и особенно секретный ответ на этот вопрос не должны быть очевидными. Это значит, что если секретный вопрос звучит как "кличка домашнего животного" ответ на него нельзя было бы узнать изучив ваши профили в соц.сетях и на остальных сайтах, где вы подробно рассказываете о своем любимце по кличке Тузик, имя которого и служит ответом на секретный вопрос.

Пароль аккаунта. Важно помнить, что при создании сайта пароль администратора uID профиля является паролем и от ПУ вашего сайта. Если со своего профиля создали много сайтов, получиться, что целая серия сайтов имеет один и тот же пароль от аккаунта, и в случае утечки всего одного единственного пароля администратора uID профиля вы можете иметь проблемы сразу со всеми сайтами. Для таких случаев есть возможность установить отдельный пароль на сайт. Вкладка безопасность - смена пароля аккаунта

При активации данной настройки, все ваши сайты так и останутся привязанными к вашему профилю uID, но при этом сайты могут иметь разные пароли от панели управления. Авторизация а панель управления по адресу http://mysite.ucoz.ru/admin/
Так же можно установить отдельный секретный вопрос и ответ для сайта. Для этого нужно при настройках Способ авторизации: Глобальный пароль для панели управления вашего uID-аккаунта, пройти в настройки безопасности uID профиля и там сменить секретный вопрос и ответ на желаемый для вашего сайта, после этого в ПУ сайта во вкладе безопасность - смена пароля аккаунта, перевести в положение Отдельный пароль ввести пароль для аккунта (отдельный) и сохранить введя при этом ответ на секретный вопрос который вы установили в вебтопе. После этого нужно пройти в настройки безопасности uID профиля и опять сменить секретный вопрос и ответ. Делать это нужно только тем, кто понимает что делает и зачем, а так же тем кто в состоянии запомнить (записать) пароли от множества сайтов плюс секретные вопросы и ответы к каждому.

Эти особенности стоит учитывать при передаче сайтов от одного владельца к другому в случае продажи сайта например. Если вам при покупке сайта выдают (даже если правильные ) пароль и секретный вопрос и ответ от сайта, то такая передача считается неправильной и спорной, так как переданный сайт так и остается привязанным к uID профилю прежнего владельца! Правильная передача сайта - это передача сайта с одного uID профиля на другой


E-mail: uID профиль и безопасность.

В первую очередь вы должны понимать, что E-mail на котором находится uID профиль, а также E-mail который находится в почтовых формах вашего сайта - это не менее важный пункт безопасности вашего сайта, как секретный вопрос и ответ, а так же как и пароль от аккаунта. Безопасности E-mail нужно уделять не меньшее значение, в первую очередь из-за того, что именно на указанный в Контактных данных сайта E-mail приходят письма с восстановлением паролей аккаунта, uID логина и вебтопа, именно этот E-mail является связью со службой поддержки. Из этого следует, что пароль на E-mail, а так же секретный вопрос и ответ должны отличаться от пароля и секретного вопроса и ответа uID аккаунта и не в коем случае не должны быть утеряны. Лучше всего иметь отдельный E-mail, который будет использоваться для uID аккаунта на котором расположены сайты, то есть не публичный посредством которого вы общаетесь с друзьями, используете для социальных сетей и прочих мест.
Так же лучше всего иметь отдельный uID профиль для путешествий по сайтам в системе, то есть лучше всего иметь два uID профиля - на одном из них собрать сайты и использовать его для работы с собственными сайтами, а другой - публичный профиль использовать для путешествий по сайтам системы с uID авторизацией.

Вывод: Секретный вопрос и ответ - ключ к вашему профилю и ключ к вашим сайтам. Секретный вопрос и ответ знать должны только вы! Секретный вопрос и ответ не должен совпадать с секретным вопрос и ответом вашего E-mail который используется для uID профиля. Секретный вопрос и ответ не должен быть утерян или передан другому человеку!
Тоже касается и паролей. Пароль от ПУ категорически не рекомендуется передавать другим лицам, так как и пароль от uID профиля. Пароли не должны совпадать с паролем от E-mail.
Не устанавливайте легкие и короткие пароли. Используйте чередование букв и цифр, а так же чередование регистра. Не устанавливайте очевидные ответы на секретные вопросы
Прикрепления: 7101325.jpg(3.7 Kb) · 0416554.jpg(8.0 Kb)
Сообщение отредактировал webanet - Четверг, 22 Сен 2016, 01:19:34
Познайка
Сообщений: 3
Репутация: 0

Сообщение # 526 | 20:59:15
Цитата webanet ()
Познайка, надо дать ссылку на сайт и описать как вы определили, что появился вредоносный код. антивирус? браузер блокирует? другое?
Здравствуйте. Извините, были проблемы со входом на сайт.
Код сначала определял Касперский, потом пришло сообщение с адреса public@iskra-news.info о вредоносном коде, потом Моззила закрыл доступ к сайту.
Но сегодня код не обнаруживает ни антивирус, ни браузер. Даже не знаю, может всё-таки стоит проверить? Адрес сайта http://mir-shkola.ucoz.ua/
webanet
Личный менеджер
Сообщений: 24018
Репутация: 4977

Сообщение # 527 | 21:04:57
Познайка, из блока календарь удалите скрипт

Код
<script language="JavaScript" src="http://101widgets.com/00001212/175/322"></script>
и больше никогда на этом сайте не собирайте ничего. в эти виджеты вшивается довольно агрессивная реклама и из-за неё могут быть периодические проблемы

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Познайка
Сообщений: 3
Репутация: 0

Сообщение # 528 | 22:24:46
Спасибо большое, webanet smile
catcatcat
Сообщений: 3
Репутация: 0

Сообщение # 529 | 17:01:59
Помогите!!! Постоянная вирусная переадресация происходит с моего сайта zayats.ucoz.ru . Пару дней, после обращения к вам, сайт работал нормально, а теперь - старая проблема : происходит переадресация на alarmin.ru (или . com) . Помогите, пожалуйста. Не могу полноценно работать.
webanet
Личный менеджер
Сообщений: 24018
Репутация: 4977

Сообщение # 530 | 17:28:06
catcatcat, почему из блока календарь не убрали скрипт

Код
<script language="JavaScript" src="http://101widgets.com/02022311/200/221"></script>
надо убрать

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
azl
Сообщений: 7
Репутация: 0

Сообщение # 531 | 16:12:58
Добрый день. Поменял пароли на вход в панель управления и на вебтоп uID. Теперь меня с этими паролями просто не пускает. Перепробовал все возможные варианты, явно проблема не в пароле, который я ввожу. Сайт azl.ucoz.com
Нажимаю Забыли пароль, ввожу ответ на секретный вопрос, ничего не приходит на почту. Возможно, это еще связано с отвратительной работой сервиса qip.ru, на котором у меня к несчастью оказался почтовый ящик. Через Web-интерфейс туда не пускает. Написано В данный момент мы производим технические работы на Почте. Просим у Вас извинений за причиненные неудобства. И так уже почти месяц. Другой почтовый ящик, естественно, указать не могу.
Как мне быть?

P.S. Письмо пришло. Перехожу по ссылке: Срок действия ссылки истек. Повторите процедуру еще раз.
Повторяю процедуру: Напоминать пароль можно не чаще, чем раз в 3 часа.
Это издевательство такое?
Сообщение отредактировал azl - Понедельник, 17 Ноя 2014, 16:24:22
$Vladimir$
$SUPPORT$
Сообщений: 7222
Репутация: 1017

Сообщение # 532 | 16:44:43
azl, вы указываете неверный пароль. Проблем с доставкой писем на http://mail.qip.ru/ нет. Если вы не смогли решить проблему воспользуйтесь формой, для связи с центром поддержки на странице //www.ucoz.ru/contact/

azl
Сообщений: 7
Репутация: 0

Сообщение # 533 | 17:15:59
Все, вопрос решен. Спасибо.
Сообщение отредактировал azl - Понедельник, 17 Ноя 2014, 22:33:34
Evgen201046
Сообщений: 2
Репутация: 0

Сообщение # 534 | 14:05:06
Здравствуйте! У меня не давно украли пароль от панели управления моим сайтом! Я так понимаю что его также перенесли себе в вебтоп, узнав мой ответ на секретный вопрос, который я не успел сменить, так как в моем вебтопе сайт пропал! Пробую восстановить пароль от ПУ через емайл, приходит письмо с просьбой перейти по ссылке для просмотра пароля от вебтопа и uID профиля. Но не один из них естественно к панельке не подходит! Также удалили из админов на сайте! Вообщем на сайт доступа совсем нет! По моей ошибке завладели доступом! Просьба помочь в данной ситуации! Обращался в службу поддержки через форму обратной связи, но пока нет ответа, вот и решил сюда написать. Если потребуются какие то данные, предоставлю! Спасибо заранее!
Сайт: ks-1-6.ru
емайл: evgenij-tezov@yandex.ru
Сообщение отредактировал Evgen201046 - Вторник, 18 Ноя 2014, 14:07:30
Yuri_G
Модератор
Сообщений: 4234
Репутация: 908

Сообщение # 535 | 14:16:46
Evgen201046, На форуме подобные вопросы не решаются только через Тех Поддержку, с Панели управления сайтом пункт помощь - Бесплатная или Платная или же пишем на - //www.ucoz.ru/abuse/ . Так же небольшое уточнение в том случае если вы сами передали все пароли второй стороне то есть похитителям в таком случае возврат сайта возможен только по решению суда.

Помогу в переводе сайта на SSL / https (поправлю базы данных если у вас крупный проект или форум), писать на почту yurij.geruk@gmail.com
TEDD
Сообщений: 1
Репутация: 0

Сообщение # 536 | 11:59:19
подскажите как быть! создал сайт очень давно, сначала пользовал потом забросил, щас опять решил пользовать но не помню секретный вопрос на востановление пароля! Подскажите как быть?!
CRASH7573
Сообщений: 1
Репутация: 0

Сообщение # 537 | 03:41:26
Здравия о могучие.
Около четырёх лет назад при попытке продать сайт я крайне сглупил передав секретный пароль.
После этого конечно же *покупатели* испарились с моим сайтом : http://tdu-crash.clan.su/

Я в 2010 году писал несколько раз, но тогда конечно рациональным было подозревать меня в мошенничестве,
но сейчас сайт уже 4 года пустует, он абсолютно не активен, и он никому, кроме меня, не нужен таким.
*Покупатель* (Логин : ADMIN ) последний раз заходил : Вторник, 20.03.2012, 20:49
Если просмотреть несколько страниц сайта и форума, то сразу понятно, что сайт давно заброшен и стал жертвой спамеров.

Итак, я понимаю, что просьба крайне иррациональная, но можно ли хоть что нибудь сделать для восстановления сайта?
У меня остался лишь e-mail адрес, привязанный к uID-аккаунту, с которого регистрировался сайт.
Сообщение отредактировал CCM - Четверг, 25 Дек 2014, 04:17:32
klesk_rus
Сообщений: 8
Репутация: 1

Сообщение # 538 | 11:22:59
Добрый день!
Подскажите пожалуйста, какие риски могут быть, если доступ в панель управления имею я и еще 1 пользователь. Я создатель, но второй администратор также редактирует сайт, вносит какие либо изменения в него, но сайт ему не принадлежит.
СлавенТуз
Сообщений: 4
Репутация: 0

Сообщение # 539 | 19:09:30
Добрый день!
Купил книгу и обнаружил такое понятие как Вебтоп, что то я его не помню при регистрации и сейчас найти не могу. Подскажите как попасть в Вебтоп. Адрес сайта http://astrologi.ucoz.ru/news/sajt_otkryt/2015-01-12-1#

Добавлено (12 Янв 2015, 19:09:30)
---------------------------------------------
Совсем забыл написать, пароль не помню

webanet
Личный менеджер
Сообщений: 24018
Репутация: 4977

Сообщение # 540 | 19:12:08
СлавенТуз, если не помните и секретный вопрос и ответ, то сразу пишите в тех.поддержку из панели управления сайтом

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Безопасность аккаунта (настройки и предостережения)
Поиск: