Как защитить административную панель сайта
Разработка сайтов – довольно сложный и времязатратный проект. Потерять данные с интернет-ресурса или вовсе его лишиться из-за незаконных действий недобросовестных граждан крайне не желательно. Поэтому разработчики очень часто сталкиваются с проблемой защиты своего творения от хакерских нападок. Обеспечение надежности ресурса можно протестировать и улучшить теми же методами, которые используют злоумышленники.
Для входа в административную панель сайта, обеспечивающую настройку и пополнение контента сайта, существует форма авторизации. Если разработчик не побеспокоится о надежном сокрытии ее от лишних глаз, хакеру не составит труда ее обнаружить. А найдя, может попытаться подобрать личные данные администратора специальными автоматизированными сервисами, которые позволяют путем перебора логинов и паролей обнаружить нужный.
Также можно получить эти данные использовав уязвимости в SQL. После этого злоумышленнику достаточно всего лишь ввести их в форму авторизации и сайт потерян для администратора. Отсюда следует вывод, что админку нужно прятать очень тщательно.
Для проверки своего ресурса можно воспользоваться утилитой Admin Finder. Нужно всего лишь ввести адрес сайта и она отобразит все возможные страницы каким-либо образом относящиеся к административной панели.
На каждом веб-ресурсе существует файл robots.txt, содержащий в себе сведения для поисковых систем, с правилами как нужно действовать при обращении к конкретной странице сайта. Индексировать или пропустить, например. Этот файл может также содержать необходимые для взлома данные. Структура сайта также имеет значение. Большинство системных файлов и страниц должны быть доступны только администратору и скрыты от глаз всех остальных.
Для проведения анализа с целью узнать как выглядит структура сайта можно прибегнуть к помощи специально для этого созданных программ, например SiteScaner. Пользоваться ей легко - нужно всего лишь указать адрес и она покажет все открытые для доступа страницы. Есть еще аналоги таких программ, но только онлайн - ввести адрес, нажать кнопку, и структура доступна для анализа. В сети множество таких сервисов.
В нелегком деле поиска входа в административную панель сайта хакер может использовать стандартное размещение этой страницы. Они могут выглядеть так: /login, /admin и схожие по написанию варианты. Поэтому при настройке сайта лучше по возможности использовать вход через GET запрос. Знать, как войти будет только администратор или имеющий разрешенный доступ менеджер сайта. Многие системы управления контентом позволяют осуществить такой вход без труда.
Хорошим подспорьем в усовершенствовании безопасности сайта может оказаться программка XSpider. Программа комплексно проанализирует сайт и выдаст информацию о том, на какие опасные участки кода стоит обратить внимание. Эта программа с легальной лицензией, бесплатную демо-версию можно найти на сайте разработчиков.
Не стоит сбрасывать со счетов и права на доступ к папкам сайта. Если у хакера окажется достаточно прав, он сможет беспрепятственно добраться в любую часть сайта и навредить. К примеру, достаточно создать в такой папке пустую страничку с именем index.html, и при попытке войти в папку с этим файлом перейти на внутрь других каталогов будет невозможно.