О безопасности сайтов на WordPress: явки, пароли, чужие дачи…

О безопасности сайтов на WordPress: явки, пароли, чужие дачи…

Итак, если помните, в прошлой статье я рассказал, как частично обезопасить свой компьютер и данные от внешнего вторжения и кражи информации. Это очень важный момент, потому что большинство взломов сайтов выполняется через компьютер администратора сайта, а не через хостера. Теперь пора сделать следующий шаг по обеспечению безопасности вашего сайта – это создание надежных логинов-паролей и обеспечение не менее надежного места для их хранения.

Почему “славянский шкаф”

a81521fc89bcad7c9e507f8740530a01

Вообще логины-пароли – вещь гораздо более серьезная, чем это представляется большинству пользователей компьютеров. Это ключи для доступа к интернет-ресурсам, где хранятся не только ваши письма, картинки или посты, но и ваши личные данные, используя которые с умом, злоумышленник может получить больше, чем если бы у него в руках оказался ваш паспорт.

Особую неприятность представляет потеря логина-пароля от учетной записи, используемой для доступа к другим учетным записям (так называемая “кросс-регистрация”, когда, например, учетная запись соцсети Facebook используется в дальнейшем для авторизации на каком-либо другом сервисе или в другой соцсети). Тогда, получив всего одну пару логин-пароль, злоумышленник спокойно получит доступ ко всем вашим ресурсам, зарегистрированным через тот ресурс, логин и пароль от которого он уже получил.

News_67914_6

Способов получения чужих логинов-паролей известно немало. Вот некоторые из них:
– клавиатурные перехватчики, встроенные в программы или в вирусы.
– поддельные страницы известных сайтов, запрашивающие ваши логин и пароль (например Facebook, Mail.ru, Google и т.п.), “нарисовать” и разместить в сети которые крайне несложно.
– запросы регистрационных данных, в том числе, логина и пароля в письме или в чате, якобы от имени службы поддержки соответствующего интернет-ресурса.
– также, это могут быть прямые или аккуратно замаскированные запросы дополнительной контрольной информации, указанной вами при регистрации, для того, чтобы, используя их, злоумышленник мог “восстановить” ваш пароль, но уже – для себя.
– ну и конечно же, просто попытки стащить с вашего компьютера файлы с паролями, записанные либо вами, либо программами, которые в используете, например, интернет-браузерами. Стащить файлы можно с помощью вирусов или “дырок” в защите вашего компьютера. Для затыкания таких дырок используются сетевые экраны-брандмауэры, фаэрволы и т.п., как правило, встроенные в антивирусные системы, о чем я писал в предыдущей статье.

Каким должен быть “настоящий” пароль

Надеюсь, все “крысиные ходы” вы уже заделали и теперь хотите наконец навести порядок в своих логинах и паролях, используемых в различных системах и сервисах.

Для начала хочется заметить, что пароль должен быть:
– длинным (не менее 9 символов)
– сложным (не похожим на слово или фразу)
– содержащим различные символы (как минимум, буквы различного регистра и цифры, а желательно, и знаки препинания или другие печатные символы, такие как % или #)
– не повторяющимся (нельзя использовать один и тот же пароль в разных эккаунтах)

b139d7f27897669658faaabcd3287d06

Почти то же самое можно сказать и о логине, если это логин для доступа в какое-то серьезное “место”, например, логин администратора вашего сайта, в том числе на WordPress или другой CMS, или логин доступа к вашему банковскому счету. Однако, большинство систем сейчас предлагают ввести в качестве логина ваш e-mail, чтобы сразу же иметь возможность связаться с вами, используя этот почтовый ящик. Следовательно, злоумышленнику достаточно получить пароль от этого ящика и все ваши учетные записи, завязанные на него, автоматически окажутся у него в руках. 🙁

Следовательно, основа безопасности – это пароль, длинный, сложный, трудно подбираемый. Для генерации пароля можно просто запустить текстовый редактор и пробежаться пальцами по клавиатуре случайным образом. Получится некая мешанина из букв и, если повезет, цифр, из которой можно выбрать в произвольном месте кусок соответствующей длины и назначить его паролем.

Однако, лучше воспользоваться специальной программой или каким-нибудь интернет-ресурсом, которые умеют генерировать пароли. Правда, в этом случае я бы рекомендовал сгенерировать несколько паролей и скопировать их в текстовый редактор в одну сплошную строку, из которой потом взять в произвольном месте кусок подходящей длины (исключительно – для гарантии вашей безопасности).

Запомнить или записать?

После того как пароль сгенерирован его можно использовать, однако, предварительно его необходимо где-то сохранить, потому что такой пароль запомнить крайне сложно. И вот тут мы вплотную подходим к самому важному моменту –  к программе хранения паролей и прочих данных ваших учетных записей. Лучший способ хранеия паролей – запись их в текстовый файл и сжатие этого файла каким-нибудь архиватором с паролем с усиленными настройками безопасности.

News_67914_4

Разумеется, исходный текстовый файл надо удалить, желательно, используя какую-нибудь программу уничтожения данных (например, Eraser), после работы которой исходный файл или его фрагменты будет невозможно ни восстановить, ни найти на диске.

Также, можно воспользоваться программами хранения ваших баз логинов-паролей в зашифрованном виде, например, KeePass или Password Safe. Эти проекты считаются надежными, что подтверждает давняя практика их использования. Кроме того, существует еще масса различных бесплатных и коммерческих приложений, выполняющих ту же самую задачу: надежное хранение ваших паролей.

И на последок

Еще раз хочу напомнить, что если свои логины вы можете повторять на различных ресурсах, то пароли нельзя нигде использовать дважды. Примите за правило: для каждой учетной записи – свой, уникальный пароль.

И разумеется, пароли нельзя “разбрасывать” где попало: ни в коем случае не сохраняйте ваши пароли где бы то ни было без серьёзной необходисмости!

News_67914_5

Вот, кстати, одна показательная цитата: “Как это произошло с нашим блогом, осталось загадкой. Если бы я сохранял пароли для ftp Total Commander, было бы понятно откуда ноги растут, но я знаю, что этого делать нельзя.” Администратор уже знает, что сохранение (не хранение, а запоминание, “чтоб каждый раз не вводить по-новой”) логинов-паролей в различных клиентских программах, например в браузерах, FTP-клиентах, в том числе и в Total Commander – небезопасно и чревато неприятностями.

Кстати, бывший сотрудник ЦРУ Эдвард Сноуден рассказал о том, как обезопасить свои личные данные в интернете. Всем пользователям персональных компьютеров он советует заклеивать веб-камеру пластырем, обязательно устанавливать антивирусные программы и блокировщики рекламы и не использовать один пароль для нескольких интернет-сайтов, чтобы при взломе одного из аккаунтов не пострадали все остальные, сообщает РГ. А для борьбы с прослушкой телефонов информатор Wikileaks рекомендует пользоваться бесплатными кодировочными программами.  Впрочем,  эти меры могут лишь частично помочь пользователям, подчеркнул Сноуден.  По его словам, это может остановить хакеров, но не спецслужбы…