Елементарна гігієна фрілансера

Чи не кожному юзеру надходять десятки вірусних пропозицій. Частина з них розбивається об антивірус, частина осідає, але не видає особливої активності, а частина створює клопіт.

Врешті, ти спершу чистиш систему іншим антивірусом, а коли бачиш, що клінер зажував кілька системних файлів, то просто переставляєш вінду. Марудно, завше невчасно, але несмертельно.

Дорожчу ціна платять веб-розробники. Моделюю класичну ситуацію:

  • ти підключив до проекту хорошого напарника зі слабким антивірусом. Поставив задачу, прийняв результат, розрахувався за роботу;
  • вже під час завантаження оновлень на сервер потрапляє піратська програмка;
  • через тиждень-другий замовник починає отримувати листи щастя від хостингу, або ж ще краще від своїх клієнтів;
  • далі він звертається до крайнього, а оскільки закон підлості ніхто не відміняв, то ти в цей час традиційно загружений, а нечистоплотний напарника забрали в армію 🙂

Найпоширеніші з вірусів це:

  • поштові скрипти. Надсилають спамчик за рахунок абонента;
  • так звані бекдори, які дозволяють мати доступ до ресурсу;
  • перенаправлення — коли ваших гостей при заході на сайт перекидає на щось непристойне;
  • скрипти, які ставлять зовнішні посилання.

Щоб убезпечитись від 99% неприємностей достатньо послуговуватись кількома нехитрими правилами:

  • Дистрибутив для сайтів має бути від виробника. Ніяких піратських квікстартів з темплейтмонстру, або безкоштовних копій платних плагінів. Тільки останні стабільні версії з офіційних джерел, або власний код;
  • файл-менеджер має працювати в режимі запиту паролю. Тобто ніяких збережених пасвордів в програмці з’єднання. Можете записувати паролі в окремих доках чи записнику, або ж створювати на робочих сайтах доступ з одинаковим паролем, який будете пам’ятати;
  • третій пункт мав би бути за антивірус, але особисто в мене на робочій машині нічого не стоїть… Я просто час від часу перезаписую операційну систему;
  • не тримати всі яйця в одному кошику. Якщо якийсь з ресурсів таки взламають, то плюватись з поодинокого геморою завжди приємніше.

Наостанок поділюсь одним нехитрим кодом для .htaccess, який я ставлю на старі сайти джумли та вордпресу. Річ рятує від мороки, якщо ви не запарюєтесь щоразу оновлювати систему клієнта до останньої версії.

#Включаємо відстеження так-званних сім-посилань
Options +FollowSymLinks
#Запускаємо url_rewriting
RewriteEngine On
#Блокируємо всі посилання, що містять <script>
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
#блокуємо увесь непотріб, який силується підкоректувати змінні PHP Globals:
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
#аналогічне блокування зі змінними _REQUEST:
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
#перенаправляємо усі непотрібні запити до системних компонентів 403 
RewriteRule ^(.*)$ index.php [F,L]

Смачного, панове 🙂