Безопасность

Здесь излагаются советы, которые позволят максимально обезопасить ваши данные, размещенные на сервере, от несанкционированного доступа. В этом залог надежности работы вашего сайта, а возможно и вашего бизнеса.

Храните логин и пароль выданные вам в процессе регистрации в недоступном для других месте.

При смене вебмастера сайта администратору ресурса необходимо обратится к администратору хостинга с просьбой о смене пароля и других контактных данных!

Если вы собираетесь использовать уже готовое программное обеспечение (форумы, системы управления контентом и т.п.), то пользуйтесь услугами зарекомендовавших себя распространителей подобного ПО. Желательно скачивать эти программные продукты непосредственно с сайта производителя. Не поддавайтесь соблазну установить так называемые «вскрытые» платные продукты. Во-первых, вы нарушаете лицензию распространителя, во-вторых, часто в такие продукты внедрен сторонний код — троян. Посещайте сайт разработчика установленного у вас готового программного продукта, следите за его обновлением, патчами, и соответственно своевременно обновляйте используемое вами ПО. Это позволит вам избавиться от регулярно обнаруживаемых уязвимостей, которым подвержены подобного рода продукты.

При размещении файлов на сервере хостинга выставляйте корректные права доступа. Всегда снимайте права доступа с триады «прочие». Конфиденциальные данные старайтесь хранить вне дерева веб-документов (вне каталога /htdocs). Отделяйте скрипты, позволяющие администрировать ваш ресурс, в отдельную директорию и закрывайте к ней доступ, указав в файле .htaccess директивы подобные.

Order deny,allow
deny from all
allow from 217.18.130.130
(указывайте свой статический IP адрес, если таковой имеется)
require user wtuser1 (указывайте ваш логин).

В случае использования вами функций подобных require(), require_once(), include(), include_once(), позволяющих включать в код рабочего скрипта фрагмент другого, будьте внимательны. Если вы используете расширения файлов указанных в этих функциях отличные от *.php, например *.inc, — следует позаботиться о защите этих файлов от прямого обращения к ним из браузера, подобно http://mysite.ru/config.inc. В этом случае происходит непосредственный вывод содержимого подключаемого файла в окно браузера. Часто в таких файлах содержатся пароли и другие критические данные. Рекомендуется для подобных файлов отводить специальную директорию и закрывать ее файлом .htaccess, указав в нем директиву deny from all.