О безопасности сайтов на WordPress: явки, пароли, чужие дачи…

  2 комментария к записи О безопасности сайтов на WordPress: явки, пароли, чужие дачи…

Итак, если помните, в прошлой статье я рассказал, как частично обезопасить свой компьютер и данные от внешнего вторжения и кражи информации. Это очень важный момент, потому что большинство взломов сайтов выполняется через компьютер администратора сайта, а не через хостера. Теперь пора сделать следующий шаг по обеспечению безопасности вашего сайта — это создание надежных логинов-паролей и обеспечение не менее надежного места для их хранения.

Почему «славянский шкаф»

a81521fc89bcad7c9e507f8740530a01

Вообще логины-пароли — вещь гораздо более серьезная, чем это представляется большинству пользователей компьютеров. Это ключи для доступа к интернет-ресурсам, где хранятся не только ваши письма, картинки или посты, но и ваши личные данные, используя которые с умом, злоумышленник может получить больше, чем если бы у него в руках оказался ваш паспорт.

Особую неприятность представляет потеря логина-пароля от учетной записи, используемой для доступа к другим учетным записям (так называемая «кросс-регистрация», когда, например, учетная запись соцсети Facebook используется в дальнейшем для авторизации на каком-либо другом сервисе или в другой соцсети). Тогда, получив всего одну пару логин-пароль, злоумышленник спокойно получит доступ ко всем вашим ресурсам, зарегистрированным через тот ресурс, логин и пароль от которого он уже получил.

News_67914_6

Способов получения чужих логинов-паролей известно немало. Вот некоторые из них:
— клавиатурные перехватчики, встроенные в программы или в вирусы.
— поддельные страницы известных сайтов, запрашивающие ваши логин и пароль (например Facebook, Mail.ru, Google и т.п.), «нарисовать» и разместить в сети которые крайне несложно.
— запросы регистрационных данных, в том числе, логина и пароля в письме или в чате, якобы от имени службы поддержки соответствующего интернет-ресурса.
— также, это могут быть прямые или аккуратно замаскированные запросы дополнительной контрольной информации, указанной вами при регистрации, для того, чтобы, используя их, злоумышленник мог «восстановить» ваш пароль, но уже — для себя.
— ну и конечно же, просто попытки стащить с вашего компьютера файлы с паролями, записанные либо вами, либо программами, которые в используете, например, интернет-браузерами. Стащить файлы можно с помощью вирусов или «дырок» в защите вашего компьютера. Для затыкания таких дырок используются сетевые экраны-брандмауэры, фаэрволы и т.п., как правило, встроенные в антивирусные системы, о чем я писал в предыдущей статье.

Каким должен быть «настоящий» пароль

Надеюсь, все «крысиные ходы» вы уже заделали и теперь хотите наконец навести порядок в своих логинах и паролях, используемых в различных системах и сервисах.

Для начала хочется заметить, что пароль должен быть:
— длинным (не менее 9 символов)
— сложным (не похожим на слово или фразу)
— содержащим различные символы (как минимум, буквы различного регистра и цифры, а желательно, и знаки препинания или другие печатные символы, такие как % или #)
— не повторяющимся (нельзя использовать один и тот же пароль в разных эккаунтах)

b139d7f27897669658faaabcd3287d06

Почти то же самое можно сказать и о логине, если это логин для доступа в какое-то серьезное «место», например, логин администратора вашего сайта, в том числе на WordPress или другой CMS, или логин доступа к вашему банковскому счету. Однако, большинство систем сейчас предлагают ввести в качестве логина ваш e-mail, чтобы сразу же иметь возможность связаться с вами, используя этот почтовый ящик. Следовательно, злоумышленнику достаточно получить пароль от этого ящика и все ваши учетные записи, завязанные на него, автоматически окажутся у него в руках. 🙁

Следовательно, основа безопасности — это пароль, длинный, сложный, трудно подбираемый. Для генерации пароля можно просто запустить текстовый редактор и пробежаться пальцами по клавиатуре случайным образом. Получится некая мешанина из букв и, если повезет, цифр, из которой можно выбрать в произвольном месте кусок соответствующей длины и назначить его паролем.

Однако, лучше воспользоваться специальной программой или каким-нибудь интернет-ресурсом, которые умеют генерировать пароли. Правда, в этом случае я бы рекомендовал сгенерировать несколько паролей и скопировать их в текстовый редактор в одну сплошную строку, из которой потом взять в произвольном месте кусок подходящей длины (исключительно — для гарантии вашей безопасности).

Запомнить или записать?

После того как пароль сгенерирован его можно использовать, однако, предварительно его необходимо где-то сохранить, потому что такой пароль запомнить крайне сложно. И вот тут мы вплотную подходим к самому важному моменту —  к программе хранения паролей и прочих данных ваших учетных записей. Лучший способ хранеия паролей — запись их в текстовый файл и сжатие этого файла каким-нибудь архиватором с паролем с усиленными настройками безопасности.

News_67914_4

Разумеется, исходный текстовый файл надо удалить, желательно, используя какую-нибудь программу уничтожения данных (например, Eraser), после работы которой исходный файл или его фрагменты будет невозможно ни восстановить, ни найти на диске.

Также, можно воспользоваться программами хранения ваших баз логинов-паролей в зашифрованном виде, например, KeePass или Password Safe. Эти проекты считаются надежными, что подтверждает давняя практика их использования. Кроме того, существует еще масса различных бесплатных и коммерческих приложений, выполняющих ту же самую задачу: надежное хранение ваших паролей.

И на последок

Еще раз хочу напомнить, что если свои логины вы можете повторять на различных ресурсах, то пароли нельзя нигде использовать дважды. Примите за правило: для каждой учетной записи — свой, уникальный пароль.

И разумеется, пароли нельзя «разбрасывать» где попало: ни в коем случае не сохраняйте ваши пароли где бы то ни было без серьёзной необходисмости!

News_67914_5

Вот, кстати, одна показательная цитата: «Как это произошло с нашим блогом, осталось загадкой. Если бы я сохранял пароли для ftp Total Commander, было бы понятно откуда ноги растут, но я знаю, что этого делать нельзя.» Администратор уже знает, что сохранение (не хранение, а запоминание, «чтоб каждый раз не вводить по-новой») логинов-паролей в различных клиентских программах, например в браузерах, FTP-клиентах, в том числе и в Total Commander — небезопасно и чревато неприятностями.

Кстати, бывший сотрудник ЦРУ Эдвард Сноуден рассказал о том, как обезопасить свои личные данные в интернете. Всем пользователям персональных компьютеров он советует заклеивать веб-камеру пластырем, обязательно устанавливать антивирусные программы и блокировщики рекламы и не использовать один пароль для нескольких интернет-сайтов, чтобы при взломе одного из аккаунтов не пострадали все остальные, сообщает РГ. А для борьбы с прослушкой телефонов информатор Wikileaks рекомендует пользоваться бесплатными кодировочными программами.  Впрочем,  эти меры могут лишь частично помочь пользователям, подчеркнул Сноуден.  По его словам, это может остановить хакеров, но не спецслужбы…

Комментарии

blogsiam