Новости для интеллектуалов

Новости креативного класса

Каталог компаний

Выбрать тренинг

Летнее чтение:

Добавить в Каталог

Статьи

О Клубе

Форумы

Публикация месяца

TreKo.Ru Консалтинг и тренинги

Рейтинг@Mail.ru



Защита сайта: простые советы. Ох уж эти пароли…

 Автор: Соколов Александр Борисович,
Редактор портала TREKO.RU
Сайт: http://www.treko.ru/klub_koord

Некоторое время назад один из Клиентов обратился ко мне с просьбой: не посмотрю ли я его сайт, который только что изготовила ему веб-студия? Ознакомившись с внешним видом сайта, я спросил, можно ли взглянуть и на систему управления – на что Клиент ответил, что управлением сайтом занимается изготовитель, и этого доступа у Клиента нет…


1. Крутой взлом.

Далее я проделал следующее.

Допустим, адрес, по которому находился сайт Клиента – www.site.ru . Часто интерфейс для управления сайтом размещают на странице "admin.php", поэтому я набрал в адресной строке адрес www.site.ru/admin.php. Открылась страница с формой, где необходимо было ввести логин и пароль. Зная, что часто логин администратора – “admin”, я ввел “admin” в соответствующее поле. Далее требовался пароль. Не долго думая, я снова ввел в качестве пароля слово “admin”. И – о чудо! – пароль подошел... Таким образом, я получил возможность администрировать сайт Клиента. В частности – изменять или удалять любые его разделы…

2. «Ленивый» пароль

Сочинение пароля – это лишнее умственное усилие, и нерадивый веб-мастер поленился совершить его. К сожалению, лень свойственна не только кустарям-одиночкам, но и штатным сотрудникам веб-студий… Поэтому Заказчику нужно брать пароли под свой контроль:
  • получить от разработчика логин и пароль для доступа к системе управления сайтом;

  • убедиться что эти данные не столь очевидны, как в вышеприведенном случае;

  • по окончании разработки сайта – на всякий случай поменять пароль.
Добавлю, что нередко система управления сайтом (CMS - Content Management System) может иметь несколько пар «логин-пароль» для управления сайтом «с разными правами».

То есть, например:
  • логин и пароль для «менеджерского доступа» (например, редактирование статей, новостей и форума)

  • логин и пароль для «администраторского доступа» - полный набор прав для работы с сайтом, вплоть до его полного удаления.

3. О других паролях

Помимо системы управления сайтом, существует еще ряд сервисов, имеющих отношение к работе с сайтом, и также «закрытых» паролями (по понятным причинам). Вряд ли все они Вам понадобятся, чаще всего это – удел технических специалистов. Тем не менее о некоторых из них полезно знать.

Итак:

Доступ к сайту по FTP (File Transfer Protocol) . ФТП – протокол передачи файлов, удобен для закачки файлов на сервер и наоборот, для их скачки, например, если нужно скопировать на Ваш компьютер резервную копию Вашего сайта.

Доступ к управлению базой данных. Как правило, современный сайт так или иначе взаимодействует с базами данных, в которых могут храниться:
  • тексты всех статей, новостей и т.п.

  • тексты дискуссий форума

  • вообще всё содержимое сайта
Доступ к панели управления хостингом. Панель управления хостингом – это интерфейс, который позволяет дистанционно, через Интернет регулировать параметры Вашего хостинга, управлять Вашей почтой и т.п. Например:
  • создавать и удалять почтовые ящики,

  • создавать базы данных и управлять ими,

  • часто – проверять состояние Вашего счета

  • менять пароли (!) и т.д.
Последний пункт важен, т.к. в целях безопасности пароли рекомендуется периодически менять.

Всеми параметрами доступа к сайту располагает хостинг-провайдер (Хостинг – место в Интернет, где физически размещен Ваш сайт. Хостинг-провайдер – компания, которая предоставляет Вам услуги хостинга). Обычно хостинг-провайдер передает эти данные заказчику - то есть Вам - при покупке хостинга (например, в электронном письме). В дальнейшем это письмо нередко теряется… Поскольку параметры доступа к сайту необходимы разработчику сайта, то он (от имени Заказчика) запрашивает эти параметры у провайдера. Поэтому позаботьтесь, чтобы разработчик сайта передал эти данные Вам.

По окончании же работ по созданию Вашего сайта (если разработчик сайта не будет в дальнейшем осуществлять его поддержку), а также при увольнении любого Сотрудника, имевшего доступ к сайту, стоит поменять:
  • пароль для доступа к сайту по FTP,

  • пароли для доступа к системе управления сайтом,

  • пароль для доступа к панели управления хостингом,

  • пароль для доступа к базе данных (но аккуратно! Не забыв поменять его и в настройках системы управления сайтом),

  • и, между прочим, пароли Ваших почтовых ящиков, если Ваша почта находится на этом же хостинге.


Семинар Александра Соколова: Создание и продвижение сайтов услуг »»»


Мы Вконтакте:
вступайте!

Мы в ФБ:
вступайте!

Мы в Твиттере
Добавляйтесь!
Видеолекции И.Л. Викентьева о ТРИЗ, творческих личностях / коллективах

Методические статьи
Статьи и дискуссии
Полезные бизнес-цитаты
Коллекции
На главную
Любое использование текстов и дизайна может осуществляться лишь с разрешения Редактора портала.
Основание: "Закон об авторском праве и смежных правах" PФ, Гражданский кодекс РФ и международные нормы.

Для Пользователей: направляя нам электронное письмо и/или заполняя любую регистрационную форму на сайте,
Вы подтверждаете факт ознакомления и безоговорочного согласия с принятой у нас Политикой конфиденциальности.


English
Deutsch
Russian