Найпопулярніше питаня до мене це "Як зробити, щоб нічого не робити, а сайт був супер-безпечний", і постійно я відповідав по різному максимально приховуючи АБСОЛЮТНО-СУПЕР-СЕКРЕТНУ технологію, що була розроблема століння назад. І лише сьогодні цім секретом поділюся ), тож якщо ви хочете створювати безпечний сайт, то ось 5 рекомендацій:
- При програмуванні використовуйте фреймворки, типу ЗендФреймворка, КодеІгнайтера, Джанго, чи інших подібних. Використання фреймворків захищає вас від банальних помилок. Якщо говорити про Джанго, то в нім по замовчуванні є влаштований захист від майже всіх типів атак - SQL-inj, CSRF, XSS. Ці фреймворки написані великою кількістю розумних людей, тому помилок там дуже мало. Набагато менше, ніж якщо б ви цей функціонал писали самі.
- Закривайте все по IP.
- Закривайте все по IP.
- Закривайте все по IP, якщо в вас є адмінка на сайті, то вхід до неї також закривайте по IP. Це дуже просто і супер надійно. Звичайно трішки "неудобства" добавить вам в зв'язку з необхідністю використуванням VPN коли не з основного місця працюєте, але це того варте. Наприклад, якщо зловмисник навіть дізнається адмінський пароль, то він абсолютно нічого не зможе зробити. Це просто реалізується в усіх веб-серверах, а я юзаю nginx, і в нім в конфігі є такі рядки:
location /admin/ { allow 127.0.0.1; deny all; ... } - І знову - закривайте все по IP, якщо в вас є MySQL, FTP і все інше, то все це закривайте файрволом. На сервак повинен бути доступ з будь якого IP лише до ssh з сертифікатом і великим паролем.
Оце і всі ті основні правила, що ви повинні знати і їх використовувати. Якщо ви зробете як я кажу, і вас все одно зламають, то я буду винен вам пляшку пива! Чесне Слово Піонера! )
