• Страница 1 из 1
  • 1
Модератор форума: Yuri_G  
Сообщество uCoz » Вебмастеру » Общие вопросы от вебмастеров » Безопасность панели управления сайтом (как повысить безопасность?)
Безопасность панели управления сайтом
alex-talker
Сообщений: 9
Репутация: 0

Сообщение # 1 | 11:12:19 02 Сен 2015
Столкнулся с таким явлением, как проникновение постороннего лица в панель управления сайтом и внесение изменений в код сайта.

Вообще, меня удивляет тот факт, что войти в панель управления сайтом можно даже не имея аккаунта в юкозе, достаточно просто знать или подобрать пароль к ПУ. Как подобрали или стырили пароль к ПУ моего сайта, я не знаю, потому что пароль непростой, по левым ссылкам обычно не хожу, антивирус работает.

Предложения к разработчикам юкоза: повысить безопасность при входе в панель управления, например следующими способами (включаемыми в настройках или на постоянной основе):

1. Вход в ПУ сайта возможен только залогинившимся администраторам сайта. То есть, окно входа в ПУ доступно только админу сайта, а не всем подряд.

2. Двухэтапная аутентификация с помощью смс (как в гугле).

Кто что думает по этому поводу? Мнение разработчиков тоже хотелось бы услышать. Это же не сложно осуществить, особенно пункт 1?

Спасибо за внимание и ответы.
$Vladimir$
Сообщений: 7465
Репутация: 1053

Сообщение # 2 | 11:28:47 02 Сен 2015
Цитата alex-talker ()
особенно пункт 1


alex-talker, часто администраторы используют один пароль и страдают от этого.
Для сайта устанавливать отдельный пароль на вход в Панель управления и вход в панель только с указанных IP-адресов и подсетей является эффективной защитой. Также нужно с определенной периодичностью менять пароль.
Больше по безопасности можно прочесть тут
alex-talker
Сообщений: 9
Репутация: 0

Сообщение # 3 | 20:49:00 02 Сен 2015
Цитата $Vladimir$ ()
устанавливать отдельный пароль на вход в Панель управления

Так и делаю всегда. Это не помогло.

Цитата $Vladimir$ ()
вход в панель только с указанных IP-адресов и подсетей является эффективной защитой.

К сожалению, я понятия не имею, какие у меня ip и подсети, потому что они постоянно меняются, поэтому данный вариант не подходит.

Цитата $Vladimir$ ()
Также нужно с определенной периодичностью менять пароль.

Хорошо, тогда подскажите, с какой периодичностью стоит менять пароль? Скажем, 12-значный, 16-значный, 20-значный и т.д.?

А разве есть трудность в реализации пункта 1? На юкозе этот момент уже реализован в разных вариациях, в настройках прав групп. Разве нельзя доступ к странице входа в ПУ открывать только залогиненным админам? Это на порядок повышает безопасность входа. Или я говорю что-то бредовое? Простите, если что.

И спасибо за ссылку, почитаю.
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 4 | 20:59:57 02 Сен 2015
alex-talker,
Цитата
Столкнулся с таким явлением, как проникновение постороннего лица в панель управления сайтом и внесение изменений в код сайта.
вы видели в логах чужой вход? изменить дизайн сайта можно без захода в панель управления. и если вы пользуетесь uid профилем для логина администратора на сайте и тем же профилем посещаете чужие сайты, то вы явно самостоятельно снижаете безопасность uid админа. к сайту можно подключиться через FTP при слабом пароле на FTP или если вы оставляете сохраненный пароль в FTP клиенте, то могли его потерять локально
опишите лучше проблему. почему вы решили, что сайт был вскрыт и по каким признакам (только подробно) вы это определили
я не просто так спрашиваю. можно поставить семь ступеней ада на входе в пу, но это может не спасти, ибо панацеи нет, где есть не только сервер, но есть и клиент
тоже самое на компьютере. антивирус никогда не являлся панацеей в первую очередь от его пользователя
ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
alex-talker
Сообщений: 9
Репутация: 0

Сообщение # 5 | 21:38:27 02 Сен 2015
webanet,

Цитата webanet ()
вы видели в логах чужой вход?

не понимаю, о чем Вы говорите.

Цитата webanet ()
и если вы пользуетесь uid профилем для логина администратора на сайте и тем же профилем посещаете чужие сайты

нет, так не делаю.

Цитата webanet ()
к сайту можно подключиться через FTP при слабом пароле на FTP

FTP не пользуюсь, не знаю даже что это такое.

Цитата webanet ()
панацеи нет

Это факт. Поэтому я предложил очень простой, но эффективный и уже реализованный на сайтах юкоза вариант - запретить вход в ПУ не-админам. И по возможности делать авторизацию через пароль из смс, хотя бы для платных пользователей, в конце концов. Я бы даже оплачивал эти смс, чтобы юкозу не жалко было "со своего кармана" платить.

Цитата webanet ()
опишите лучше проблему. почему вы решили, что сайт был вскрыт и по каким признакам (только подробно) вы это определили

В код сайта (в один из шаблонов) был внедрен код. И узнал я об этом случайно.

Добавлено (02 Сен 2015, 21:38:27)
---------------------------------------------

Цитата webanet ()
вы видели в логах чужой вход?

Посмотрел лог. Нет там чужого входа в ПУ. Вообще нет входов в ПУ за тот период, когда был внедрен код. Чужих входов вообще нет.
И что это значит?
alex-talker
Сообщений: 9
Репутация: 0

Сообщение # 6 | 21:38:37 02 Сен 2015
Подскажите, можно ли штатными средствами скрыть страницу (или окно) входа в ПУ от всех групп, кроме администраторов?
Или запретить вход не-админам.

Потому что возникла проблема, и вход в ПУ по сути, защищен плохо. Любой желающий, даже не имеющий аккаунта юкоз, может сидеть подбирать пароли к ПУ. Как по мне, это большая дыра в безопасности сайта.

Я предлагал 2 решения, первое очень простое:

1. Скрыть страницу входа в ПУ (или окно входа) от всех групп, кроме администраторов.
2. Сделать авторизацию через смс.
Сообщение отредактировал alex-talker - Среда, 02 Сен 2015, 22:04:53
Сообщество uCoz » Вебмастеру » Общие вопросы от вебмастеров » Безопасность панели управления сайтом (как повысить безопасность?)
  • Страница 1 из 1
  • 1
Поиск: