БЛОГ


Сайты ломают, такое случается, причины разные, основные, это несвоевременное обновление расширений и кража паролей с компьютера администратора.


Остановимся немного подробнее на кражах паролей, в первом случае это может быть банальный вирус на компьютере, во втором, сохранённые в браузере пароли. Сохранять пароли конечно удобно, не нужно вводить при каждом входе в панель управления, особенно если нужно вносить материалы по нескольку раз в день.

В январе 2018 года специалистами различных компаний было зафиксировано несколько нестандартных подходов к краже учетных данных. Например, на стороннем, взломанном сайте размещается JS, посетителю, просматривающему сайт, подгружается скрипт, который просматривает сохранённые адреса и пароли от наиболее популярных CMS (/admin, /wp-admin, /administrator).

Также замечены кейлогеры распространяемые через поддельные домены Cloudflare, которые через JS также похищают пароли от панелей управления сайтами и хостингом.

Не так давно ко мне обратился заказчик с повторным заражением сайтов,  чему я был немало удивлен, поскольку считал, что закрыл все «дыры».

Опубликовано в БЛОГ

Это переводной материал Нильса Клинта, в котором он описывает, как ему удалось достичь максимальных  результатов в скорости загрузки и оптимизации сайта. Далее от лица автора 

Когда моему сайту понадобился новый дизайн, я одновременно хотел проверить, как далеко мы сможем пойти в СЕО оптимизации и скорости загрузки страниц. На протяжении многих лет я использовал шаблоны студии Shape5, и не было никаких оснований переходить  на продукты других разработчиков.

Шаблон Vertex изначально очень хорошо оптимизирован, но его производительность превзошла все мои ожидания. При подключении Cloudflare результаты конечно бы улучшились, но в этом случае они бы сильно различались в зависимости от географического месторасположения посетителя.

Примечание – Vertex, бесплатный шаблон Joomla, от разработчика Shape5

Результаты теста.

Опубликовано в БЛОГ

Сейчас все избалованы различными CMS, порой не задумываясь о целесообразности их применения для небольших сайтов.

Для небольшого сайта в несколько страниц, применение «движка» сродни водружению трактора на садовую грядку.

В CMS находятся уязвимости, что подвергает сайт опасности взлома, а нагрузка намного больше, поскольку динамические сайты обращаются к базе, а статические обычно просто выдают готовый контент.

Но Publii имеет многие возможности динамических сайтов, и в отличие от многих коммерческих редакторов, как например Adobe Muse не формирует тонны неудобоваримого кода.

Небольшой обзор возможностей.

Первым делом, что я проверил скорость работы созданного в редакторе сайта. Результат очень порадовал, по результатам gtmetrix сайт получил практически недостижимый результат, а значит оптимизация кода на высоте.

Опубликовано в БЛОГ

Для чего нужен https

- Скажи пароль!

- "Пароль!"

- Проходи!

Детский анекдот.

Для чего вообще нужно шифровать пароль? Стоите вы, скажем, у клуба, куда пропускают только по паролю. Как войти? Самый очевидный вариант - подойти ближе к входу и подслушать.

То же самое и в сети, методов перехвата паролей существует множество; чтобы ваш пароль не попал в чужие руки, и придумали шифрование.

По большому счету шифрование не всегда нужно, скажем, у вас интернет-магазин, или у вас на сайте хранятся некие приватные данные. К тому же Google обещает сайтам, перешедшим на протокол https, повышение в поисковой выдаче, но я бы не стал торопиться, многие пользователи, увидев окно об установке сертификата, могут просто уйти с сайта.

- Ой, там у меня какое окно вылезло с предупреждением, я все, на всякий случай закрыла.

В общем, переходить или нет на SSL (англ. secure sockets layer), решать вам.

Опубликовано в БЛОГ

Введение

Часто можно увидеть в сети: сайт работал нормально и вдруг начал работать, как дворник с похмелья, хостер пишет гневные письма, поисковики обходят сайт стороной, а браузеры блокируют предупреждением «Имеется информация, что этот сайт атакует компьютеры!»

Откуда же берутся вирусы?

Самая распространённая на сегодня причина — это использование quickstart (quickstart это установочный архив, позволяющий в несколько минут развернуть точную копию сайта, со всеми расширениями), как правило, скачанного с варезных ресурсов; квикстарта, купленного у разработчика, разумеется, можно не бояться. Очень удобно, не нужно мучатся с дизайном, установкой расширений, настройкой сайта. Правда, зачастую вместе с сайтом можно получить набор скриптов, дающих контроль над вашим ресурсом, таких как рассылка спама, «раздача» вирусов или размещение невидимых ссылок на сторонние ресурсы (черный SEO).

Для чего варезные ресурсы включают backdoor (от англ. back door — «чёрный ход») в архив? Как правило, варезные ресурсы живут за счет отчислений за каждое скачивание от файлообменников, а те, в свою очередь, показом рекламы и платными подписками, позволяющими увеличить скорость загрузки, которая для простых пользователей обычно ограничена. Но многим этого кажется мало, тем более когда есть возможность управлять сотнями и даже тысячами сайтов. Если уж хотите использовать quickstart, то купите его у разработчика, тем более его стоимость в среднем составляет 30-50 долларов, что, в общем, недорого даже при нынешнем курсе.

На второе место можно поставить взлом CMS через уязвимости, причем с защищённостью движков все в порядке, причина банальна – пользователи не устанавливают обновления. Кто-то боится, что после обновления «слетит» сайт, кому-то просто лень, или студия разработала сайт и передала его заказчику. Заказчик поручил вести сайт одному из сотрудников, и тот исправно наполняет его по инструкции, а обновление в его функции не входит…

Так одной из возможных причин утечки «Панамского архива» специалисты называют устаревшие CMS - Drupal, содержавший на момент взлома не менее 25 уязвимостей, и WordPress 4.1 с уязвимым плагином.

Опубликовано в БЛОГ

В последнее время, к сожалению, все больше сайтов на Joomla оказываются взломанными. Некоторые сразу кинулись ругать CMS, хотя система вполне надежна, и с ней работают крупные компании, как например, Липтон (сайт http://www.liptonicetea.com) или РАНХиГС, и ничего, признаков взлома не наблюдается.

Если посмотреть на отчеты компаний, специализирующихся на информационной безопасности, то можно увидеть, что Joomla не является лидером по количеству взломов, но на территории бывшей СССР ситуация прямо противоположна.

На мой взгляд, все началось несколько лет назад, когда сеть заполонили уроки – «как стать Великим Вебмастером за три клика». Уроки, возможно, приносили какую-то пользу, но хотелось высокого уровня, а для верстки знаний «куда кликать» не хватало. Тогда же в сети появились варезные сайты, где можно было скачать «квикстарт» и в течение нескольких секунд развернуть полную копию демоверсии сайта. Оставалось заменить материалы и изображения сайта на свои, и вуаля - готовый к употреблению продукт.

Опубликовано в БЛОГ

Не так давно была заявка по чрезмерной нагрузке на хостинг, все в общем банально, но может кому пригодится.

После получения паролей я первым делом зашел в админ панель сайта и открыл менеджер перенаправлений (Joomla) где сразу увидел бота. Бот сканировал разные ссылки в поисках уязвимости, причем даже не относящихся к данной CMS.

Опубликовано в БЛОГ