Έχω ήδη γράψει μια δημοσίευση κριτικής σχετικά με τις δυνατότητες. Έγραψα ένα άλλο άρθρο σχετικά με (ιστοτόπους και ηλεκτρονικά καταστήματα) στο 1C-Bitrix. Αυτή η ανάρτηση θα είναι από την ίδια σειρά, σχετικά με τα εργαλεία ασφαλείας που είναι διαθέσιμα στο Bitrix αμέσως. Θα τα απαριθμήσω όλα, θα σας πω ποιο εργαλείο είναι διαθέσιμο σε ποια έκδοση του Bitrix και θα σας πω εν συντομία και όχι πολύ για τον σκοπό του καθενός.

Γνωρίζω από την πείρα που εργάζομαι με πελάτες ότι η ασφάλεια δεν είναι το τελευταίο θέμα που τους ενδιαφέρει. Είναι αλήθεια ότι οι πελάτες συνήθως δεν καταλαβαίνουν τις λεπτομέρειες και απλώς φοβούνται μήπως οι χάκερ, ο ιστότοπος παραβιαστεί ή ότι ο ιστότοπος θα σπάσει. Αλλά σε γενικές γραμμές, έχουν δίκιο στις ανησυχίες τους.

Εάν επιλέγετε ένα CMS για έναν ιστότοπο ή ένα ηλεκτρονικό κατάστημα και η ασφάλεια είναι ένα από τα κριτήρια, τότε η ανάρτησή μου θα σας επιτρέψει να καταλάβετε εάν το Bitrix σας δίνει αρκετή εμπιστοσύνη.

Συμπεράσματα πρώτα

Το άρθρο αποδείχθηκε μεγάλο και το θέμα ήταν μάλλον βαρετό. Ως εκ τούτου, αποφάσισα να γράψω τα συμπεράσματα στην αρχή για να αυξήσω τις πιθανότητες να τα διαβάσετε. Έτσι, κοιτάζοντας τη διάρκεια αυτής της ανάρτησης, μπορεί να φαίνεται ότι είναι εύκολο να μπερδευτείτε σε όλη την ποικιλία των εργαλείων ασφαλείας Bitrix. Αλλά αυτό δεν είναι αλήθεια.Είναι όλα αρκετά απλά.

Για έναν απλό χρήστη που δεν είναι πολύ έμπειρος στις τεχνικές λεπτομέρειες της ανάπτυξης ιστότοπου, αρκεί να γνωρίζει πού να δει μια αναφορά σχετικά με την τρέχουσα ασφάλεια ενός ιστότοπου, να μπορεί να εκκινήσει έναν σαρωτή ασφαλείας και μια οθόνη ποιότητας (και τα δύο μπορούν να γίνει με ένα κλικ). Υπάρχουν μέρη όπου μπορείτε να δείτε ενοποιημένες αναφορές - απλά και ξεκάθαρα. Ετσι, δεν χρειάζεται να είστε ειδικός ασφαλείας για να παρακολουθείτε την ασφάλεια στο Bitrixόπως δεν χρειάζεται να είστε ειδικός στα web analytics για να δείτε την επισκεψιμότητα στον ιστότοπό σας στο LiveInternet ή στο Yandex.Metrica.

Η ασφάλεια του ιστότοπου είναι κάτι που δεν μπορεί να αγνοηθεί. Ή μπορείτε, μέχρι την πρώτη φορά δεν υπάρχουν προβλήματα. Το Bitrix είναι πολύ καλά αναπτυγμένο όσον αφορά την ασφάλεια. Και το πιο σημαντικό, δίνει στον ιδιοκτήτη του ιστότοπου σαφή εργαλεία για την αξιολόγηση της ασφάλειας (καθώς και πολλά άλλα σημαντικά μικρά πράγματα). Όλα αυτά θα συζητηθούν στο άρθρο.​

Πηγαίνω.

Προληπτική προστασία από την παραβίαση ιστοσελίδων

Το Bitrix διαθέτει μια σειρά από τεχνικά εργαλεία και οργανωτικά μέτρα ασφαλείας, τα οποία συνδυάζονται με την ονομασία «Προληπτική Προστασία».

Όλα τα εργαλεία που αναφέρονται σε αυτήν την ενότητα είναι διαθέσιμα από την έκδοση 1C-Bitrix "Standard" και νεότερη έκδοση (δεν είναι διαθέσιμα στην έκδοση "Start"). Ορισμένα απαιτούν τη λειτουργική μονάδα Web Analytics, αυτό συζητείται ξεχωριστά.

Προληπτικό φίλτρο(Τείχος προστασίας εφαρμογών Ιστού)

Προστατεύει τον ιστότοπο από παραβίαση μέσω των πιο γνωστών επιθέσεων. Το φίλτρο εντοπίζει πιθανές απειλές και αποκλείει τις εισβολές στον ιστότοπο, αναλύει όλα τα δεδομένα που προέρχονται από τον επισκέπτη και φιλτράρει εκείνα που θεωρεί ύποπτα. Το φίλτρο προστατεύει τον ιστότοπο από παραβίαση, μεταξύ άλλων λόγω σφαλμάτων ασφαλείας που έγιναν από τους προγραμματιστές. Το προληπτικό φίλτρο καταγράφει τις απόπειρες επίθεσης σε ένα ειδικό αρχείο καταγραφής και ενημερώνει επίσης τον διαχειριστή του ιστότοπου για περιπτώσεις εισβολής. Το φίλτρο σάς επιτρέπει να αποκλείσετε έναν εισβολέα προσθέτοντας τη διεύθυνση IP του στη λίστα διακοπής.

Θα πρέπει να σημειωθεί ότι μερικές φορές ορισμένες ενέργειες των επισκεπτών του ιστότοπου μπορεί να φαίνονται ύποπτες, αν και δεν αποτελούν απειλή, τότε το φίλτρο θα έχει ψευδώς θετικό. Αλλά αυτό είναι ένας φόρος τιμής στην επαγρύπνηση. Όπως ένας υπερβολικά ευαίσθητος συναγερμός στο αυτοκίνητο του γείτονά σας κάτω από τα παράθυρά σας :-).

Σαρωτής ασφαλείας ιστότοπου

Αυτή είναι μια υπηρεσία που σας επιτρέπει να ελέγξετε έναν ιστότοπο για ασφάλεια, να εντοπίσετε πιθανές ευπάθειες στο λογισμικό και να εντοπίσετε εσφαλμένες ρυθμίσεις ασφαλείας του CMS, της PHP και του διακομιστή.

Για τον μέσο ιδιοκτήτη διαδικτυακού καταστήματος, ένας σαρωτής ασφαλείας δίνει έναν επιπλέον λόγο για να κοιμάται καλύτερα. Μπορείτε να κάνετε μόνοι σας δοκιμές ασφαλείας, να δείτε τι συμβαίνει και να κατανοήσετε πώς να προστατεύσετε τον ιστότοπο, να επικοινωνήσετε με τον προγραμματιστή για συμβουλές ή/και αντιμετώπιση προβλημάτων.

Παρακαλώ, αν ανακαλυφθεί κάτι, μην απελευθερώσετε αμέσως όλα τα σκυλιά στους προγραμματιστές. Ο σαρωτής είναι συχνά υπερβολικά επιλεκτικός.

Ένα εξαιρετικό εργαλείο για να ελέγξετε αν όλα είναι εντάξει με την ασφάλεια στο έργο σας. Ένας παρόμοιος έλεγχος, ένας απλός έλεγχος ασφάλειας ιστότοπου και μια έκθεση με συστάσεις από ειδικούς σε αυτόν τον τομέα θα κοστίσει από 10-15 χιλιάδες ρούβλια. και ψηλότερα.

Η σάρωση ξεκινά με ένα κουμπί. Μετά την ολοκλήρωση της σάρωσης, τα αποτελέσματα εμφανίζονται με μια λίστα με όλες τις απειλές ασφαλείας που βρίσκονται στον ιστότοπο:

• Ο σαρωτής θα εμφανίσει ελαττώματα στην εσωτερική οργάνωση του ιστότοπου, για παράδειγμα, εάν οι περίοδοι λειτουργίας αποθηκεύονται με ασφάλεια.
• Θα δείξει ποιες δυνατότητες συστήματος για τη διασφάλιση της ασφάλειας του ιστότοπου δεν χρησιμοποιούνται (δεν είναι ενεργοποιημένες) και ποιες ρυθμίσεις δεν έχουν ολοκληρωθεί.
• Η μονάδα θα εμφανίζει επίσης όλα τα μη επικίνδυνα αλλά δυνητικά αδύναμα σημεία ασφαλείας (απλός κωδικός πρόσβασης βάσης δεδομένων, μειωμένο επίπεδο ασφάλειας για τους διαχειριστές) κ.λπ. μικρά πράγματα που ωστόσο συχνά αποδεικνύονται χρήσιμα. Για παράδειγμα, όταν ένας προγραμματιστής ξέχασε να διορθώσει κάτι «όπως χρειάζεται» μετά την ολοκλήρωση της εργασίας.

Ο σαρωτής μπορεί επίσης να αναζητήσει πιθανές ευπάθειες στον κώδικα PHP του έργου. Όποιος ενδιαφέρεται για το πώς εφαρμόζεται αυτό μπορεί να διαβάσει περισσότερα στο ιστολόγιο Bitrix.

Έλεγχος της ασφάλειας του κώδικα PHP στον ιστότοπο.

Για την πλειονότητα των χρηστών για τους οποίους οι τεχνικές λεπτομέρειες δεν είναι πολύ σημαντικές, θα πω το κύριο πράγμα - αυτό είναι ένα εργαλείο για έναν προγραμματιστή που μπορεί κάλλιστα να ξεχάσει να παρέχει κάτι όσον αφορά την ασφάλεια ενός έργου ιστού ή απλά να μην γνωρίζει. Αυτό το εργαλείο σάς επιτρέπει να εντοπίσετε πιθανά προβλήματα και να τα εμφανίσετε ώστε να μπορείτε να τα εξαλείψετε.Αλλά για να μην ξεχάσει ο προγραμματιστής να το χρησιμοποιήσει και να μην χάσει πολλά άλλα μικρά πράγματα που σχετίζονται όχι μόνο με την ασφάλεια, το 1C-Bitrix είναι παρόν "Παρακολούθηση ποιότητας", θα συζητηθεί επίσης σε αυτό το άρθρο.

Εκτός από τα αποτελέσματα του ελέγχου του ιστότοπου για τρωτά σημεία, δίνονται συγκεκριμένες συστάσεις για εξάλειψη. Ιδιαίτερα σημαντικά σημεία στην αναφορά επισημαίνονται με κόκκινο χρώμα και επισημαίνονται με ειδικό εικονίδιο.

Web antivirus. Προστατεύει τον ιστότοπο από ιούς.

Ο ευκολότερος τρόπος για να προστατέψετε έναν ιστότοπο από ιούς είναι να χρησιμοποιήσετε ένα πρόγραμμα προστασίας από ιούς στον υπολογιστή σας. Ένας ιστότοπος έχει μολυνθεί με ιό συνήθως από τον υπολογιστή του διαχειριστή, ο οποίος έχει πρόσβαση σε αυτόν, και όχι επειδή ο ιστότοπος ξοδεύει πολύ χρόνο στο Διαδίκτυο :-). Επομένως, το κύριο καθήκον ενός προγράμματος προστασίας από ιούς ιστού είναι να ειδοποιεί τον διαχειριστή του ιστότοπου για τη μόλυνση. Ένας ιός στον ιστότοπο σημαίνει ότι μπορεί να υπάρχει ιός στον υπολογιστή του διαχειριστή και πρέπει να ληφθούν μέτρα.

Το πρόγραμμα προστασίας από ιούς ιστού λειτουργεί στον ιστότοπο και όχι στον υπολογιστή του διαχειριστή, επομένως χρειάζεται οπωσδήποτε ένα κανονικό πρόγραμμα προστασίας από ιούς.

Ανάλογα με τις ρυθμίσεις που θα οριστούν σε αυτό, το Web Anti-Virus μπορεί είτε να ενημερώσει μόνο τον διαχειριστή του ιστότοπου για την υποψία ιού είτε να εντοπίσει αυτόματα επικίνδυνες περιοχές στον κώδικα HTML του ιστότοπου και να «κόψει» ύποπτα iframes και javascript. Είναι δυνατή η προσθήκη εξαιρέσεων, έτσι ώστε το πρόγραμμα προστασίας από ιούς να σταματήσει να ανταποκρίνεται σε ασφαλή αλλά ύποπτα (κατά τη γνώμη του) μέρη του κώδικα.

Με απλά λόγια, το web antivirus κάνει μια μεγάλη καλή πράξη - εμποδίζει την εξάπλωση του ιού από το ηλεκτρονικό σας κατάστημα.

Τι σημαίνει αυτό στην πράξη; Αυτό σημαίνει ότι οι επισκέπτες σας δεν θα λάβουν προειδοποίηση από το πρόγραμμα προστασίας από ιούς ή το πρόγραμμα περιήγησής τους ότι ο ιστότοπός σας δεν είναι αξιόπιστος. Και αυτό είναι καλό!

Πόσες φορές έχετε συναντήσει εσείς το ανησυχητικό μήνυμα "Αυτός ο ιστότοπος απειλεί την ασφάλεια του υπολογιστή σας" ή "Αυτός ο ιστότοπος έχει προβλήματα ασφαλείας". Επιπλέον, οι μηχανές αναζήτησης δεν θα αποκλείουν τον ιστότοπό σας από τα αποτελέσματα αναζήτησης για εξάπλωση ιών. Αυτό ακριβώς συμβαίνει εάν ένας ιστότοπος έχει μολυνθεί για μεγάλο χρονικό διάστημα.

Λίστα διακοπής. Απαγόρευσε τους αχρείους!

Μερικές φορές θέλετε να αποκλείσετε (απαγορευτείτε) ορισμένους χρήστες ή ρομπότ για να αρνηθείτε την πρόσβαση στον ιστότοπο. Αυτό μπορεί να είναι χρήσιμο εάν οι χρήστες κάνουν δοκιμαστικές παραγγελίες για ασαφή σκοπό, γράφουν συστηματικά ακατάλληλα σχόλια, στέλνουν ανεπιθύμητα μηνύματα με διαφημίσεις ή δημιουργούν περιττή δραστηριότητα. Για τέτοιες περιπτώσεις, το 1C-Bitrix παρέχει μια "Λίστα διακοπής".

Οι ανεπιθύμητοι χρήστες μπορούν να προστεθούν στη λίστα διακοπής χειροκίνητα ή αυτόματα με βάση ορισμένα συμβάντα.

Η λίστα διακοπής έχει πολλά χρήσιμα χαρακτηριστικά:

• Για να μην ξεχάσετε να καταργήσετε την απαγόρευση ενός χρήστη και αυτό μπορεί να είναι χρήσιμο, καθώς πολλές διευθύνσεις IP είναι δυναμικές και δεν έχουν εκχωρηθεί στον ίδιο χρήστη για μεγάλο χρονικό διάστημα, μπορείτε να ορίσετε το χρόνο κατά τον οποίο ο αποκλεισμός θα παραμείνει σε ισχύ, μετά το οποίο θα αφαιρεθεί αυτόματα.
• Μπορείτε να εμφανίσετε ένα προσαρμοσμένο μήνυμα σε αποκλεισμένους επισκέπτες, για παράδειγμα, "Η διεύθυνση IP σας έχει αποκλειστεί λόγω αυξημένης δραστηριότητας". Ή, το πιο ενδιαφέρον κατά τη γνώμη μου, ανακατεύθυνση σε ιστότοπους τρίτων. Σε ανταγωνιστές, για παράδειγμα. Αφήστε τους να διεξάγουν τις καταστροφικές τους δραστηριότητες.
• Η πρόσβαση σε επισκέπτες και bots μπορεί να περιοριστεί όχι μόνο από τη διεύθυνση IP, αλλά και από τη μάσκα δικτύου και το UserAgent (εάν είναι διαθέσιμη η ενότητα Web Analytics), η οποία είναι ιδιαίτερα χρήσιμη για τον αποκλεισμό ανεπιθύμητων ρομπότ.

Όταν χρησιμοποιείτε μια λίστα στάσεων, πρέπει να προσέχετε να μην αποκλείσετε κατά λάθος το μισό Διαδίκτυο, όλους τους χρήστες οποιουδήποτε προγράμματος περιήγησης ή ρομπότ αράχνης από την αγαπημένη σας μηχανή αναζήτησης.

Η λειτουργικότητα της λίστας διακοπής συνδέεται με άλλα εργαλεία ασφαλείας (για παράδειγμα, με το "Προληπτικό φίλτρο" ή "Έλεγχος δραστηριότητας"), αυτό καθιστά δυνατό τον αποκλεισμό παραβατών (συμπεριλαμβανομένων των αυτόματων) που εντοπίστηκαν από άλλα εργαλεία.

Παρακολούθηση ύποπτης δραστηριότητας στον ιστότοπο. Ποιος ειναι εκει?

Πολλά καλά και κακά. Επομένως, η υπερβολική δραστηριότητα στον ιστότοπο, ειδικά που προέρχεται από bots, πρέπει να αποκλειστεί. Φυσικά, δεν υπάρχει ιδιαίτερη βλάβη από αυτό, αλλά δεν υπάρχει ούτε όφελος. Για παράδειγμα, εάν ο ιστότοπός σας φιλοξενείται σε μια κανονική κοινόχρηστη φιλοξενία, η οποία μπορεί εύκολα να χειριστεί 500-700 επισκέπτες την ημέρα, τότε μια προσπάθεια λήψης ολόκληρου του ιστότοπού σας σε 10 νήματα χρησιμοποιώντας το TeleportPro μπορεί κάλλιστα να δυσκολέψει άλλους χρήστες ή να οδηγήσει σε αποτυχία . Για να μην αναφέρουμε ποιος χρειάστηκε να κατεβάσει τον ιστότοπό σας και για ποιο σκοπό.

Εδώ έρχεται να σώσει ο έλεγχος δραστηριότητας. Σας επιτρέπει να αποκλείετε υπερβολικά ενεργούς χρήστες, bots, προστατεύει από όχι ιδιαίτερα τεράστιες επιθέσεις DDoS, συν, το οποίο είναι πολύ σημαντικό, απαγορεύει τις προσπάθειες να μαντέψετε τον κωδικό πρόσβασης για τον ιστότοπο. Και για να είναι όλα τακτοποιημένα και ο διαχειριστής του ιστότοπου να μπορεί να ελέγχει τη διαδικασία εάν το επιθυμεί, όλες οι ενέργειες καταγράφονται αυτόματα σε ένα αρχείο καταγραφής, όπου ο διαχειριστής μπορεί να τις βλέπει κατά διαστήματα.

Στις ρυθμίσεις, μπορείτε να ορίσετε έναν αριθμό παραμέτρων: Ποια δραστηριότητα θεωρείται "περιττή", μετά την οποία θα πρέπει να ληφθούν μέτρα, για πόσο χρονικό διάστημα θα αποκλειστεί η πηγή της δραστηριότητας, ποιο μήνυμα να εμφανίζεται σε αυτήν ή πού να την ανακατευθύνετε.

Όπως μπορείτε να δείτε, το πράγμα είναι αρκετά χρήσιμο και θα χρησιμοποιηθεί στη λειτουργία του ιστότοπου. Αλλά δυστυχώς, αυτό το εργαλείο είναι διαθέσιμο μόνο σε εκδόσεις με τη λειτουργική μονάδα "Web Analytics" ("Ειδικός" και "Επιχείρηση").

Προστασία του διοικητικού μέρους

Η καρδιά του ιστότοπου είναι το διοικητικό μέρος. Αυτό είναι το κέντρο εντολών από όπου γίνεται η διαχείριση του έργου Skynet. Έχοντας αποκτήσει πρόσβαση στον πίνακα διαχείρισης, ένας εισβολέας (ή απλά ένας απατεώνας πειραματικός υπάλληλος) μπορεί να προκαλέσει πολλά προβλήματα που θα χρειαστεί πολύς χρόνος για να λυθούν. Όσο πιο περίπλοκος είναι ο κωδικός πρόσβασης, τόσο περισσότερο θέλετε να τον αποθηκεύσετε στην επιφάνεια εργασίας σας σε ένα αρχείο " Ιστοσελίδα password.txt", ή στο πρόγραμμα περιήγησης, από όπου επίσης συνήθως δεν είναι δύσκολο να το αποκτήσετε.

Η προστασία του διοικητικού μέρους με διεύθυνση IP είναι μια άλλη γραμμή άμυνας. Για αυτό έχει σχεδιαστεί αυτό το εργαλείο. Η χρήση του καθιστά ανούσιες τις επιθέσεις XSS στον υπολογιστή του διαχειριστή/του επεξεργαστή ιστότοπου/του διαχειριστή περιεχομένου. Η κλοπή του κωδικού πρόσβασής σας δεν θα κάνει επίσης τίποτα.

Διαμόρφωση απαγόρευσης πρόσβασης στο διοικητικό μέρος.

Η προστασία του τμήματος διαχείρισης σάς επιτρέπει να ανοίξετε την πρόσβαση για τη διαχείριση του ιστότοπου μόνο από συγκεκριμένες διευθύνσεις IP ή εύρη.

Για ευκολία εγκατάστασης, το σύστημα εμφανίζει την τρέχουσα διεύθυνση IP του χρήστη. Επιπλέον, ελέγχει εάν ο χρήστης έχει αποκλείσει την πρόσβαση στον εαυτό του. Αλλά εάν συμβεί ότι εξακολουθείτε να είστε αποκλεισμένοι, για παράδειγμα, η διεύθυνση IP σας έχει αλλάξει και δεν μπορείτε να συνδεθείτε στην περιοχή διαχειριστή, μπορείτε να καταργήσετε τον περιορισμό στις διευθύνσεις IP δημιουργώντας (μέσω FTP ή μέσω του πίνακα ελέγχου φιλοξενίας) ειδικό αρχείο (με οποιοδήποτε περιεχόμενο, μπορεί να είναι κενό), αλλά σε μια συγκεκριμένη διαδρομή και με το επιθυμητό όνομα. Η διαδρομή προς το αρχείο και το όνομά του καθορίζονται στις ρυθμίσεις της ενότητας Proactive Defense. Βεβαιωθείτε εκ των προτέρων ότι σε περίπτωση αποκλεισμού γνωρίζετε ποιο αρχείο πρέπει να δημιουργηθεί και πού.

Η διαδρομή και το όνομα του αρχείου που πρέπει να σημειωθεί σε περίπτωση που αποκλείσατε τον εαυτό σας.

Παρακολούθηση ακεραιότητας αρχείων

Στο 1C-Bitrix, υπάρχει η δυνατότητα παρακολούθησης αλλαγών σε αρχεία, τόσο του πυρήνα του συστήματος όσο και του δημόσιου τμήματος του ιστότοπου.

Αυτή η λειτουργία μπορεί να χρησιμοποιηθεί, για παράδειγμα, για την παρακολούθηση της εργασίας ενός προγραμματιστή τρίτου κατασκευαστή, προκειμένου να κατανοήσει ποια αρχεία άλλαξαν, ποια νέα αρχεία προστέθηκαν και αν ο πυρήνας τροποποιήθηκε.

Για μεγαλύτερη ασφάλεια, είναι δυνατό να ελέγξετε την ακεραιότητα του ίδιου του σεναρίου που πραγματοποιεί τον έλεγχο.

Προστασία συνεδρίας

Εάν ένας εισβολέας αποκτήσει πρόσβαση σε μια περίοδο λειτουργίας εξουσιοδοτημένου διαχειριστή, θα μπορεί να αποκτήσει πρόσβαση στον ιστότοπο. Για την προστασία του ιστότοπου από αυτού του είδους το hacking, το 1C-Bitrix παρέχει προστασία συνεδρίας, η χρήση της οποίας καθιστά την κλοπή συνεδρίας άσκοπη.

Εκτός από τη λειτουργία προστασίας περιόδου λειτουργίας που είναι διαθέσιμη στις ρυθμίσεις της ομάδας χρηστών, το εργαλείο Προστασία περιόδου λειτουργίας σάς επιτρέπει να αποθηκεύετε συνεδρίες χρήστη σε μια βάση δεδομένων, η οποία αποτρέπει την πρόσβαση σε αυτές σε περίπτωση εσφαλμένων ρυθμίσεων ασφαλείας σε κοινόχρηστη φιλοξενία. Επιπλέον, μπορείτε να ρυθμίσετε τη διάρκεια ζωής του αναγνωριστικού περιόδου λειτουργίας έτσι ώστε να αλλάζει σε καθορισμένα διαστήματα. Τότε ακόμη και η κλεμμένη συνεδρία θα πάψει να είναι σχετική μετά από αυτό το χρονικό διάστημα. Η προεπιλογή είναι 1 λεπτό.

Προστασία από εμφάνιση ιστοσελίδων σε καρέ

Το απλούστερο παράδειγμα είναι εάν κοιτάξετε τις πηγές παραπομπών στον ιστότοπό σας, θα δείτε ότι ορισμένοι σύνδεσμοι είναι δικός σας ιστότοπος μόνο με διαφορετική διεύθυνση. Αυτό είναι το άνοιγμα στο πλαίσιο. Υπάρχουν υπηρεσίες όπως το snip.ly, που σας επιτρέπουν να τοποθετείτε συνδέσμους μέσω αυτών και να προβάλλετε διαφημίσεις σε ιστότοπο τρίτων. Για παράδειγμα, εάν κάνετε κλικ σε αυτόν τον σύνδεσμο, θα μεταβείτε στο ιστολόγιο του Tyoma Lebedev, όπου η διαφήμισή μου θα είναι παρακάτω. Εάν θέλετε, μπορείτε να επισυνάψετε το avatar της Tema σε αυτήν τη διαφήμιση, τότε η αποτελεσματικότητα θα είναι ακόμη μεγαλύτερη.

Για να μην συμβαίνουν τέτοια πράγματα στον ιστότοπό σας, το Bitrix διαθέτει προστασία πλαισίου.

Και να τι γράφουν τα ίδια τα παιδιά από το Bitrix για αυτό:

Η απαγόρευση της εμφάνισης σελίδων ιστότοπου σε πλαίσια άλλων τομέων σάς επιτρέπει να προστατεύσετε το έργο από το Clickjacking (εισαγωγή ενός αόρατου πλαισίου από έναν πόρο στόχο για να λάβετε ένα κλικ από έναν επισκέπτη), Framesniffing και μειώνει σημαντικά την πιθανότητα επιθέσεων δέσμης ενεργειών μεταξύ τοποθεσιών.

Προστασία από ανακατευθύνσεις από phishing

Το ηλεκτρονικό ψάρεμα είναι ένα είδος διαδικτυακής απάτης.

Στο Bitrix, όπως και σε κάθε CMS ή υπηρεσία όπου είναι απαραίτητο να μετρηθούν τα κλικ, είναι δυνατή η δημιουργία συνδέσμων μέσω ανακατευθύνσεων. Για παράδειγμα, στην ενότητα "Διαφήμιση". Για να αποτρέψετε τους εισβολείς να τα χρησιμοποιούν για τους ύπουλους σκοπούς τους, πρέπει να ενεργοποιήσετε την προστασία ανακατεύθυνσης.

Ανακατεύθυνση σε άλλη τοποθεσία που είναι γνωστό ότι είναι ασφαλής (μπορεί να οριστεί στις ρυθμίσεις). Εκεί, στις ρυθμίσεις, μπορείτε να ορίσετε κείμενο που προειδοποιεί τον χρήστη για πιθανή απόπειρα phishing.

Host/domains

Η λειτουργία αποτρέπει την πλαστογράφηση της κεφαλίδας του κεντρικού υπολογιστή HTTP. Με απλά λόγια, εμποδίζει το άνοιγμα του ιστότοπού σας σε άλλες διευθύνσεις εκτός από αυτές που επιτρέπετε. Μπορείτε να διαμορφώσετε είτε τον αποκλεισμό τέτοιων προσπαθειών για άνοιγμα του ιστότοπου είτε να ανακατευθύνετε τον επισκέπτη στην εξουσιοδοτημένη διεύθυνση που χρειάζεστε.

Πίνακας ασφαλείας

Υπάρχουν πολλά εργαλεία ασφαλείας στο Bitrix, για την απλοποίηση της ρύθμισης και τον προσδιορισμό της τρέχουσας κατάστασης καθενός, παρέχεται ένας πίνακας ασφαλείας. Αυτή είναι μια ενότητα στην οποία όλες οι πληροφορίες σχετικά με την τρέχουσα ασφάλεια του ιστότοπου αυτή τη στιγμή συγκεντρώνονται και δομούνται σε μία σελίδα. Εδώ, εάν χρειαστεί, δίνονται συστάσεις για τη βελτίωση της ασφάλειας. Παρέχεται αμέσως ένας σύνδεσμος προς το αντίστοιχο εργαλείο που πρέπει να ενεργοποιηθεί ή να διαμορφωθεί.

Για να προσδιορίσετε το επίπεδο ασφάλειας του δημιουργημένου ιστότοπου, απλώς μεταβείτε στον πίνακα ασφαλείας.

Ασφαλής έλεγχος ταυτότητας χωρίς SSL

Εάν πρέπει να εργαστείτε με τον ιστότοπο από διαφορετικά μέρη, μεταξύ άλλων μέσω ανοιχτών σημείων Wi-Fi, διακυβεύετε την ασφάλεια του ιστότοπου, διακινδυνεύοντας το όνομα χρήστη και τον κωδικό πρόσβασής σας, μέσω των οποίων εισέρχεστε στον ιστότοπο, να αποκτηθούν από εισβολείς. Η υποκλοπή κωδικού πρόσβασης δεν είναι μεγάλο πρόβλημα εάν ο ιστότοπος δεν υποστηρίζει κρυπτογράφηση ή εάν δεν χρησιμοποιείτε σύνδεση VPN.

Στο Bitrix, είναι δυνατή η εξασφάλιση εξουσιοδότησης χωρίς την ανάγκη σύνδεσης SSL.Για να το κάνετε αυτό, στον πίνακα διαχείρισης, στις ρυθμίσεις της κύριας μονάδας, πρέπει να ενεργοποιήσετε αυτήν τη δυνατότητα επιλέγοντας το κατάλληλο πλαίσιο. Μετά από αυτό, οι κωδικοί πρόσβασης θα κρυπτογραφηθούν χρησιμοποιώντας τον αλγόριθμο RSA με ένα κλειδί 1024-bit και θα μεταφερθούν στον διακομιστή με αυτήν τη φόρμα. Θα είναι αδύνατο να τα χακάρετε.

Ημερολόγιο εισβολής

Στο 1C-Bitrix, όλες οι ασυνήθιστες ή κακόβουλες ενέργειες καταγράφονται αυτόματα στο αρχείο καταγραφής εισβολής. Αυτό δίνει στον διαχειριστή του ιστότοπου την ευκαιρία να ανιχνεύσει τις απόπειρες επίθεσης τόσο αμέσως, κατά τη στιγμή της υλοποίησης (για παράδειγμα, λαμβάνοντας μια αντίστοιχη ειδοποίηση μέσω email) και να αποκλείσει τη διεύθυνση IP των εισβολέων, όσο και με την προβολή συμβάντων στο αρχείο καταγραφής αργότερα. Ανάλογα με τους κύριους τύπους επιθέσεων, γίνονται κατάλληλες καταχωρίσεις στο αρχείο καταγραφής: ένεση SQL, επιθέσεις XSS, απόπειρα ένεσης PHP. Το αρχείο καταγραφής εισβολής είναι ένα εξαιρετικό εργαλείο για τον διαχειριστή του ιστότοπου, που επιτρέπει την προληπτική συντήρηση και την αποτροπή προσπαθειών εισβολής με την ανάλυση των εγγραφών.

Ημερολόγιο εισβολής.

Έλεγχος ταυτότητας σε δύο βήματα και κωδικοί πρόσβασης μίας χρήσης

Για να εισέλθετε στον ιστότοπο, παραδοσιακά χρησιμοποιούνται ένα login και ένας κωδικός πρόσβασης. Αλλά το μειονέκτημα είναι ότι δεν είναι ιδιαίτερα δύσκολο να τα κλέψεις. Υπάρχουν keyloggers και ιοί που μπορούν να «κατασκοπεύσουν» τον κωδικό πρόσβασής σας και να τον μεταδώσουν στους κακούς. Ο κωδικός πρόσβασης μπορεί να κλαπεί από αυτούς που είναι αποθηκευμένοι στο πρόγραμμα περιήγησης ή να ακουστεί σε μη προστατευμένα δίκτυα Wi-Fi.

Επομένως, σε όλα τα κρίσιμα μέρη, όπως η σύνδεση στο Internet banking, κατά τη μεταφορά χρημάτων σε συστήματα πληρωμών, χρησιμοποιούνται κωδικοί πρόσβασης μιας χρήσης.

Το Bitrix μπορεί να το κάνει και αυτό. Οι κωδικοί πρόσβασης μιας χρήσης μπορούν να δημιουργηθούν από μια ειδική συσκευή, ένα μπρελόκ στο μέγεθος μιας μονάδας flash ή μια εφαρμογή εγκατεστημένη σε smartphone με Android.

"Κλειδιά" για τη δημιουργία κωδικών πρόσβασης μίας χρήσης.

Προστασία ιστότοπου από DDoS

Ένα προληπτικό φίλτρο προστατεύει σε κάποιο βαθμό τον ιστότοπο από επιθέσεις DoS, επιτρέποντάς σας να προσθέτετε αυτόματα χρήστες και bots που είναι υπερβολικά ενεργά στον ιστότοπο στη λίστα διακοπής και έτσι να μειώνετε το φορτίο που δημιουργούν στον διακομιστή. Αλλά αυτό δεν αρκεί έναντι των σοβαρών DDos.

Πολύ πρόσφατα, στη 15η έκδοση του Bitrix, εμφανίστηκε μια νέα ευκαιρία για γρήγορη ενεργοποίηση της προστασίας από επιθέσεις DDoS που παρέχει η υπηρεσία Qrator. Αυτό μπορεί να γίνει τόσο από τον πίνακα διαχείρισης όσο και από μια ειδική σελίδα στον ιστότοπο Bitrix (εάν ο πίνακας διαχείρισης Bitrix στον ιστότοπό σας δεν είναι διαθέσιμος λόγω επίθεσης DDos). Η άδεια περιλαμβάνει δωρεάν 1 προστασία τοποθεσίας έναντι ddos ​​ετησίως για περίοδο 10 ημερών. Περισσότερα για τα χρήματα. Μια τέτοια υπηρεσία θα ενδιαφέρει πρωτίστως μεγάλα έργα. Αλλά μιλώντας για τα εργαλεία ασφαλείας που είναι ενσωματωμένα στο Bitrix, είναι αδύνατο να μην το αναφέρουμε.

Σημαντικά μικροπράγματα

Υπάρχουν ακόμα μικρά πράγματα που σχετίζονται με την ασφάλεια, αλλά όχι τόσο δροσερά όσο αυτά που περιέγραψα παραπάνω. Επειδή όμως είναι αδύνατο να μην μιλήσουμε καθόλου για αυτά σε αυτό το άρθρο, θα τα απαριθμήσω χωρίς να μπω σε λεπτομέρειες. Όλα όσα αναφέρονται σε αυτήν την ενότητα είναι διαθέσιμα στο Bitrix ξεκινώντας από την junior έκδοση "Start".

Πολιτικές ασφαλείας ιστότοπου για ομάδες χρηστών

Για διαφορετικές ομάδες χρηστών στο Bitrix, ορίζονται κατάλληλα δικαιώματα που περιορίζουν την πρόσβαση σε λειτουργικές μονάδες και περιεχόμενο στον ιστότοπο. Έτσι ώστε οι χρήστες από διαφορετικές ομάδες να έχουν πρόσβαση μόνο στις πληροφορίες και τις λογικές λειτουργίες που χρειάζονται για να εργαστούν.

Επιπλέον, για κάθε ομάδα χρηστών μπορείτε να διαμορφώσετε τη δική σας πολιτική ασφαλείας: Συνδέστε μια περίοδο λειτουργίας σε μια διεύθυνση IP ή δίκτυο χρησιμοποιώντας μια μάσκα, προσδιορίστε τη διάρκεια της συνεδρίας και το χρόνο μέχρι να παραμείνει ενεργή η εξουσιοδότηση, προσδιορίστε πόσες ταυτόχρονες εξουσιοδοτήσεις μπορούν να είναι εκτελείται για έναν χρήστη, ορίστε τον κωδικό μήκους και την πολυπλοκότητά του.

Έτσι, για μια ομάδα χρηστών που δεν έχουν δικαιώματα στον ιστότοπο εκτός από την προβολή περιεχομένου στο δημόσιο μέρος, μπορείτε να ορίσετε το επίπεδο ασφάλειας σε χαμηλό και για την ομάδα Διαχειριστών, να το ορίσετε σε υψηλό ή ακόμα και να ενεργοποιήσετε τα δύο βήμα εξουσιοδότησης που συζητήθηκε παραπάνω.

Το αρχείο καταγραφής συμβάντων

Εκτός από το αρχείο καταγραφής εισβολής, για το οποίο έγραψα ήδη παραπάνω, το Bitrix έχει ένα άλλο - το αρχείο καταγραφής συμβάντων. Συμβάντα που σχετίζονται με την εξουσιοδότηση και την εγγραφή χρηστών, την εργασία διαφορετικών χρηστών με δικαιώματα πρόσβασης, την επεξεργασία αρχείων και μενού, την εργασία με περιεχόμενο σε μπλοκ πληροφοριών (ειδήσεις, προϊόντα, φωτογραφίες κ.λπ.) καταγράφονται εδώ, τα οποία σας επιτρέπουν να παρακολουθείτε βασικές ενέργειες στο σύστημα.

Δεν είναι όλες οι λειτουργίες καταγραφής ενεργοποιημένες από προεπιλογή, πρέπει να τις ενεργοποιήσετε για την κύρια μονάδα (επιλέγοντας τα κατάλληλα πλαίσια) και να κάνετε το ίδιο στις ρυθμίσεις κάθε μπλοκ πληροφοριών.

Διαμόρφωση παραμέτρων αρχείου καταγραφής συμβάντων στην κύρια λειτουργική μονάδα.

Ρυθμίσεις παραμέτρων για το αρχείο καταγραφής συμβάντων στο μπλοκ πληροφοριών.

Με την πρώτη ματιά, είναι ένα βαρετό και άχρηστο πράγμα. Αλλά μερικές φορές βοηθάει να καταλάβουμε ποιος έχει δίκιο και ποιος είναι ακραίος.Για παράδειγμα, όταν προκύψει μια διαφωνία μεταξύ των διαχειριστών περιεχομένου σχετικά με το ποιος επεξεργάστηκε για τελευταία φορά αυτό ή εκείνο το άρθρο στον ιστότοπο ή το προϊόν του καταλόγου και μπερδεύτηκε σοβαρά. Τότε μπορεί να είναι πολύ χρήσιμο να κοιτάξετε το αρχείο καταγραφής συμβάντων. Το αρχείο καταγραφής συμβάντων βοηθά επίσης στον εντοπισμό προσπαθειών αυτόματης επιλογής σύνδεσης και κωδικού πρόσβασης στον ιστότοπο. Οι ανεπιτυχείς προσπάθειες είναι ορατές στο αρχείο καταγραφής, εάν υπάρχουν πολλές από αυτές, μπορούν να ληφθούν προληπτικά μέτρα.

Παρακολούθηση ποιότητας

Δεν μπορεί να αμφισβητηθεί ότι η ασφάλεια ενός ιστότοπου, καθώς και τα άλλα χαρακτηριστικά του (για παράδειγμα, η ταχύτητα), εξαρτώνται σε μεγάλο βαθμό από την ποιότητα της ανάπτυξης. Για να βοηθήσετε τον ιδιοκτήτη του ιστότοπου να αξιολογήσει πόσο καλά έχει γίνει το έργο του, εάν όλες οι σημαντικές αποχρώσεις ελήφθησαν υπόψη ή/και συμπεριλήφθηκαν και διαμορφώθηκαν από τον προγραμματιστή, αυτό το εργαλείο εφαρμόζεται στο Bitrix.

Αποτελέσματα της αυτόματης δοκιμής τοποθεσίας από ένα μόνιτορ ποιότητας.

Αυτό είναι ένα σύνολο αυτοματοποιημένων δοκιμών για να ελέγξετε την ποιότητα της ανάπτυξης του ιστότοπού σας, την ενοποίηση του σχεδιασμού, την ανάλυση ασφαλείας, την απόδοση, τις ρυθμίσεις φιλοξενίας και πολλά άλλα. Το μόνιτορ ποιότητας δεν επισημαίνει απλώς ελαττώματα, αλλά δίνει συστάσεις για εξάλειψη.

Δεν πρέπει να καλέσετε αμέσως τον προγραμματιστή και να ορκιστείτε εάν εκτελέσετε τη δοκιμή και εμφανίζει πολλά υποχρεωτικά στοιχεία που δεν πληρούνται στον ιστότοπό σας. Συχνά χρειάζονται μόνο μερικά λεπτά για να εξαλειφθεί το ένα ή το άλλο «ελάττωμα».

Λεπτομερής ρύθμιση CAPTCHA

Το CAPTCHA είναι ένα παλιό καλό εργαλείο για προστασία από ενέργειες bot. Τα τυπικά captcha έχουν ένα μεγάλο μειονέκτημα, μπορούν εύκολα να λυθούν ημιαυτόματα. Το 1C-Bitrix έχει τη δυνατότητα να διαμορφώνει ευέλικτα την captcha. Ορίστε πολλές παραμέτρους στην οθόνη του, αλλάξτε τη γραμματοσειρά, καθορίστε ποιοι χαρακτήρες θα εμφανίζονται στο captcha και ποιοι όχι. Αυτή η ρύθμιση είναι πολύ βολική. Για παράδειγμα, μια εξαιρετική επιλογή είναι η captcha με κυριλλικό αλφάβητο. Και για να μην μπερδεύονται οι χρήστες σχετικά με το γράμμα που πρέπει να γράψουν, αγγλικά ή ρωσικά, μπορείτε να αφήσετε μόνο αριθμούς και γράμματα του αλφαβήτου που δεν είναι στο λατινικό αλφάβητο. Συχνά αυτό είναι αρκετό για να εξαπατήσει τόσο τα bots όσο και τους Ινδούς που βγάζουν το ψωμί τους λύνοντας captcha.

Διαμόρφωση παραμέτρων εμφάνισης captcha.

Προστασία από αυτόματες εγγραφές

Για να αποτρέψετε την αυτόματη εγγραφή ρομπότ στον ιστότοπο, στις ρυθμίσεις της κύριας μονάδας είναι δυνατό να ενεργοποιήσετε την επιβεβαίωση εγγραφής μέσω email και για να αποτρέψετε την εγγραφή ρομπότ δύο φορές από το ίδιο email, ενεργοποιήστε έναν έλεγχο μοναδικότητας. Εκεί, στις ρυθμίσεις της κύριας μονάδας, μπορείτε να ενεργοποιήσετε το Captcha για την εγγραφή νέων χρηστών.

Προστασία με κωδικό πρόσβασης

Στο Bitrix, η προστασία από την αυτόματη εικασία κωδικού πρόσβασης εφαρμόζεται με δύο τρόπους. Το πρώτο είναι η έξοδος ενός captcha μετά από έναν ορισμένο αριθμό αποτυχημένων προσπαθειών εξουσιοδότησης. Το δεύτερο είναι ο αποκλεισμός ενός χρήστη που δημιουργεί αυξημένη δραστηριότητα στον ιστότοπο. Δηλαδή, εάν το ρομπότ που επιλέγει τη σύνδεση και τον κωδικό πρόσβασης το κάνει πολύ γρήγορα, τότε το προληπτικό φίλτρο απλώς θα το αποκλείσει, θα ειδοποιήσει τον διαχειριστή του ιστότοπου σχετικά και θα καταγράψει την ενέργεια στο αρχείο καταγραφής εισβολής.

Απόδοση ιστότοπου

Η ασφάλεια του ιστότοπου δεν αφορά μόνο την προστασία από τους χάκερ. Αυτή είναι επίσης μια ευκαιρία γρήγορης αποκατάστασης του ιστότοπου σε περίπτωση ατυχήματος. Επομένως, αυτό το άρθρο θα συζητήσει αυτά τα εργαλεία, μεταξύ άλλων.

Όλες οι λειτουργίες που παρατίθενται σε αυτήν την ενότητα είναι διαθέσιμες στο Bitrix ξεκινώντας από την junior έκδοση "Start".

Αντιγράφων ασφαλείας

Ένας ιστότοπος είναι λογισμικό και πληροφορίες. Το ίδιο το λογισμικό δεν μπορεί να σπάσει. Αλλά το υλικό στο οποίο λειτουργούν όλα τα πράγματα σας μπορεί να σπάσει. Οι οικοδεσπότες παίρνουν αυτό το είδος ασφάλειας στα σοβαρά, αλλά εξακολουθούν να υπάρχουν πιθανότητες να χάσουν ό,τι έχει αποκτηθεί με σπασμωδική εργασία. Μπορείτε να βρείτε πολλές περιπτώσεις στο Διαδίκτυο όπου, μετά από ένα ατύχημα φιλοξενίας, ένας πελάτης έχασε τον ιστότοπό του. Για κάποιο λόγο, ο οικοδεσπότης δεν είχε αντίγραφα ασφαλείας και ούτε ο ιδιοκτήτης τα είχε. Απομένει μόνο μία επιλογή - να παραγγείλετε ξανά τον ιστότοπο / το ηλεκτρονικό κατάστημα. Περίμενε δυο μήνες μέχρι να είναι όλα έτοιμα, γέμισε το με υλικά, προωθήστε το.

Για να μην συμβεί αυτό, οι έξυπνοι χρήστες δημιουργούν αντίγραφα ασφαλείας και τα κρατούν σε διαφορετικό μέρος, όχι στο ίδιο καλάθι όπου βρίσκονται όλα τα αυγά τους. Δεν γνωρίζουν όλοι πώς να το κάνουν αυτό, επομένως στο Bitrix η επιλογή δημιουργίας αντιγράφων ασφαλείας υλοποιείται πολύ απλά και σε διαφορετικές επιλογές. Μάλιστα, με ένα-δυο κλικ του ποντικιού. Τι ακριβώς είναι:

Σύμπτυξη ολόκληρου του ιστότοπου σε ένα αρχείο

Σε αυτήν την περίπτωση, ολόκληρος ο ιστότοπος (ή προαιρετικά, περιεχόμενο / πυρήνας / βάση δεδομένων) θα διπλωθεί σε ένα τακτοποιημένο αρχείο και θα τοποθετηθεί σε έναν ειδικό φάκελο στον ιστότοπο. Υπάρχει μια ρύθμιση όπου μπορείτε να απενεργοποιήσετε τη δημιουργία αντιγράφων ασφαλείας ενός συγκεκριμένου φακέλου ή αρχείων συγκεκριμένου τύπου. Για παράδειγμα, εάν ένα βίντεο είναι αποθηκευμένο στον ιστότοπο, μπορείτε να εξαιρέσετε αυτόν τον φάκελο από το αντίγραφο ασφαλείας, ώστε να μην είναι πολύ μεγάλο. Ή αν γνωρίζετε ότι ο πυρήνας του ιστότοπού σας δεν έχει αλλάξει, αλλά εργάζεστε με δεδομένα καθημερινά, μπορείτε μόνο να δημιουργήσετε αντίγραφα ασφαλείας του δημόσιου μέρους και της βάσης δεδομένων.

Εάν ο ιστότοπος είναι μεγάλος, το αρχείο θα κοπεί αυτόματα σε μέρη, το μέγεθος κάθε τμήματος μπορεί να ρυθμιστεί χειροκίνητα ή να αφεθεί στην προεπιλογή. Εάν επιθυμείτε, το αρχείο μπορεί να προστατευτεί με κωδικό πρόσβασης.

Οι ρυθμίσεις συμπίεσης είναι καλά μελετημένες και κατάλληλες για κάθε hoster. Μπορείτε να ορίσετε το χρόνο εκτέλεσης του σεναρίου και τις παύσεις στην εργασία έτσι ώστε η διαδικασία να μην λήγει. Μπορείτε να απενεργοποιήσετε τη συμπίεση για να μειώσετε περαιτέρω το φορτίο της CPU. Τότε το αρχείο θα είναι μεγάλο, αλλά θα γίνει γρήγορα. Υπάρχει ένα πλαίσιο ελέγχου με το οποίο, μετά την ολοκλήρωση της αρχειοθέτησης, το αρχείο θα ελέγχεται για σφάλματα.

Αυτόματα τακτικά αντίγραφα ασφαλείας

Για να μειώσετε τη χειρωνακτική εργασία και τον ανθρώπινο παράγοντα ("Ξέχασα να κάνω το επόμενο αντίγραφο ασφαλείας"), μπορείτε να ρυθμίσετε αυτόματα προγραμματισμένα αντίγραφα ασφαλείας στο Bitrix.

Αυτό απλοποιεί σημαντικά τη ζωή και σας επιτρέπει να έχετε ενημερωμένα αντίγραφα ασφαλείας. Για να αποτρέψετε τα αντίγραφα ασφαλείας από το να καταλαμβάνουν όλο το χώρο στον διακομιστή με την πάροδο του χρόνου, μπορείτε να ρυθμίσετε την αυτόματη διαγραφή παλαιών αντιγράφων.

Αυτόματη δημιουργία αντιγράφων ασφαλείας στο cloud

Αλλά υπάρχει ένα μειονέκτημα στην αποθήκευση αντιγράφων ασφαλείας στο ίδιο μέρος όπου βρίσκεται ο ιστότοπος - σε περίπτωση σοβαρού προβλήματος στον διακομιστή, το αντίγραφο ασφαλείας θα χαθεί επίσης. Επομένως, πρέπει να αποθηκεύσετε το αντίγραφο ασφαλείας χωριστά από τον ιστότοπο. Αυτό σημαίνει ότι από καιρό σε καιρό χρειάζεται να αντιγράφετε αντίγραφα ασφαλείας σε άλλο διακομιστή/φιλοξενία/σύννεφο ή στον υπολογιστή σας.

Ο κανόνας για αξιόπιστη δημιουργία αντιγράφων ασφαλείας: "Πρέπει να αποθηκεύσετε το αντίγραφο ασφαλείας σας σε διακομιστή διαφορετικό από αυτόν στον οποίο βρίσκεται το αντίγραφο ασφαλείας του οποίου δημιουργείτε."

Για να απαλλάξει τον χρήστη από αυτήν τη ρουτίνα, το Bitrix έχει τη δυνατότητα να δημιουργεί αντίγραφα ασφαλείας απευθείας στο cloud. Όλα είναι ίδια με αυτά που περιγράφονται παραπάνω, αλλά μετά την ολοκλήρωση της αρχειοθέτησης, το αντίγραφο μεταφορτώνεται αυτόματα στον χώρο αποθήκευσης cloud Bitrix ή σε έναν εξωτερικό χώρο αποθήκευσης cloud που είναι συνδεδεμένος στον ιστότοπο, για παράδειγμα στο Amazon S3. Το πλεονέκτημα για τον μέσο χρήστη είναι ότι ο χώρος αποθήκευσης cloud είναι ενσωματωμένος στο Bitrix και δεν χρειάζεται να συνδέσετε ή να ρυθμίσετε τίποτα.

Στο σύννεφο του, το 1C-Bitrix εκχωρεί δωρεάν για κάθε άδεια ένα συγκεκριμένο χώρο για την αποθήκευση αντιγράφων ασφαλείας:

• 1 GB. Για τους συντάκτες Start,
• 2 GB. Για το "Standard"
• 6 GB. Για τους εκδότες "Expert",
• 4 ΓΙΓΑΜΠΑΪΤ. Για «Μικρές Επιχειρήσεις»
• 10 για την έκδοση Business.

Όχι πάρα πολλά, αλλά αρκετά για να διατηρηθούν ασφαλή 1-2 πρόσφατα αντίγραφα ασφαλείας. Εάν είναι επιθυμητό, ​​ο ελεύθερος χώρος στο σύννεφο Bitrix μπορεί να επεκταθεί απλά με την αγορά του. Ή συνδέστε ένα cloud τρίτων.

Υποστήριξη αποθήκευσης cloud

Αυτό δεν έχει να κάνει άμεσα με την ασφάλεια, αλλά από τότε που άρχισα να μιλάω για αποθήκευση στο cloud, πρέπει να πω ότι τα σύννεφα συνδέονται χωρίς προβλήματα και λειτουργούν όχι μόνο για δημιουργία αντιγράφων ασφαλείας. Μια ειδική ενότητα είναι υπεύθυνη για αυτό, διαθέσιμη σε όλες τις εκδόσεις, ξεκινώντας από το «Έναρξη». Αφού συνδέσετε το cloud στο Bitrix, μπορείτε να το ρυθμίσετε ώστε να αποθηκεύει αρχεία οποιουδήποτε τύπου. Για παράδειγμα, ώστε όλα τα βίντεο που ανεβαίνουν στον ιστότοπο να τοποθετούνται αυτόματα στο cloud και να προβάλλονται στον χρήστη από εκεί. Για ορισμένες εργασίες αυτό είναι χρήσιμο, σας επιτρέπει να ανακουφίσετε τη φιλοξενία και να επιταχύνετε τη φόρτωση των πληροφοριών από τους επισκέπτες.

Επιθεωρητής χώρου

Υπηρεσία Cloud από το 1C-Bitrix, η οποία σας επιτρέπει να παρακολουθείτε πολλές απλές αλλά σημαντικές παραμέτρους σε ιστότοπους και ηλεκτρονικά καταστήματα που λειτουργούν υπό τον έλεγχο Bitrix:

• Παρακολουθεί την απόδοση του ιστότοπου. Είτε ανοίγει ο ιστότοπος είτε όχι, πόσο καιρό είναι αδρανής. Το Yandex.Metrica το κάνει επίσης, αλλά αυτή η υπηρεσία δείχνει τις πληροφορίες με περισσότερες λεπτομέρειες.
• Ελέγχει πότε λήγει ο τομέας και σας ειδοποιεί μέσω email. Ο καταχωρητής ειδοποιεί επίσης, αλλά υπάρχουν περιπτώσεις που ο υπεύθυνος για τον ιστότοπο και αυτός στον οποίο έχει καταχωρηθεί το domain είναι διαφορετικά άτομα. Τότε ο υπεύθυνος για τον ιστότοπο ενδέχεται να μην λάβει email από τον καταχωρητή τομέα. Για να μην συμβεί αυτό, ο επιθεωρητής του χώρου θα τον ειδοποιήσει.
• Ημερομηνία λήξης της άδειας 1C-Bitrix. Δεν φαίνεται πολύ σημαντικό. Στην πραγματικότητα εξοικονομεί χρήματα. Εξάλλου, η αγορά μιας προνομιακής ανανέωσης είναι το 20% του κόστους της άδειας. Το κύριο πράγμα είναι να έχετε χρόνο να το αγοράσετε εντός 30 ημερών από τη λήξη της άδειας. Δεν είχαμε χρόνο, την επόμενη φορά θα πρέπει να πληρώσουμε το 60% του κόστους. Επομένως, είναι σημαντικό να μην χάσετε τη σωστή ημερομηνία.
• Ελέγξτε εάν ο ιστότοπος ανταποκρίνεται χρησιμοποιώντας το πρωτόκολλο https.
• Περίοδος ισχύος πιστοποιητικού SSL. Θα ελέγξει και θα σας υπενθυμίσει πότε είναι ώρα να ανανεώσετε το πιστοποιητικό SSL σας.

Τσεκάρουμε τα κουτάκια που θέλουμε να επιθεωρήσουμε.

Έτσι φαίνονται τα αποτελέσματα της επιθεώρησης.

συμπέρασμα

Είναι δύσκολο να υποστηρίξουμε ότι η ασφάλεια του ιστότοπου είναι σημαντική. Ειδικά αν πρόκειται για ηλεκτρονικό κατάστημα ή ιστότοπο εταιρείας, από το έργο του οποίου εξαρτώνται η φήμη και τα κέρδη. Το Bitrix παρέχει εξαιρετικά εργαλεία για εργασία με ασφάλεια. Δεν τολμώ να πω, αλλά νομίζω ότι από την άποψη της ασφάλειας, αυτό είναι ένα από τα καλύτερα συσκευασμένα CMS στον κόσμο.

Έφερα όλα τα συμπεράσματα από αυτό το άρθρο στην αρχή. Δεν έχει νόημα να τα επαναλάβουμε εδώ. Ελπίζω αυτό το άρθρο να σας βοήθησε. Αν ναι, αναδημοσιεύστε, θα χαρώ :-)

(Συνδεθείτε για να διαγράψετε τη σελίδα.) Όταν εγγράφεστε σχεδόν σε κάθε ιστότοπο, αντιμετωπίζουμε προστασία από την αυτόματη εγγραφή - μοιάζει με μια εικόνα στην οποία, ανάμεσα στα σκουπίδια (ακατανόητο για όλα τα είδη ρομπότ, αλλά κατανοητό στους ανθρώπους), πρέπει να διακρίνετε την εικόνα του γράμματα ή αριθμούς και καταχωρίστε τα στη φόρμα εγγραφής. Κάποιοι προχώρησαν παραπέρα, προσφέροντας να προσθέσουν ή να πολλαπλασιάσουν μερικούς αριθμούς και να γράψουν στην απάντηση. Και μια μέρα ένας άγνωστος χρήστης (το όνομά του έχει χαθεί, αλλά θα ήμασταν ευγνώμονες για πληροφορίες σχετικά με αυτόν) πρότεινε αυτήν την επιλογή για προστασία από ρομπότ. Προαιρετικά, μπορεί να χρησιμοποιηθεί για την εξάλειψη συνομιλητών στο φόρουμ μαθηματικών ή απλώς μελετητών, έτσι ώστε οι ανόητοι να μην παρεμβαίνουν και οι έξυπνοι άνθρωποι να μην παρεμβαίνουν στην επικοινωνία τους.

Αλλά σοβαρά, η προστασία από την αυτόματη εγγραφή ονομάζεται CAPTCHA (από το αγγλικό «Completely Automated Public Turing test to tell Computers and Humans Apart» και είναι μια πλήρως αυτοματοποιημένη δημόσια δοκιμή Turing για τη διάκριση μεταξύ υπολογιστών και ανθρώπων) - σήμα κατατεθέν του Πανεπιστημίου Carnegie Mellon , υπολογιστής μια δοκιμή που χρησιμοποιείται για να προσδιοριστεί εάν ένα άτομο χρησιμοποιεί το σύστημα. Ο όρος εμφανίστηκε το 2000.

Στην πιο συνηθισμένη έκδοση του CAPTCHA, ο χρήστης πρέπει να εισάγει χαρακτήρες που συνήθως απεικονίζονται σε παραμορφωμένη μορφή στην εικόνα που του προσφέρεται, μερικές φορές με την προσθήκη θορύβου ή ημιδιαφάνειας. Λιγότερο συχνά χρησιμοποιούνται τα CAPTCHA που βασίζονται στην αναγνώριση ομιλίας (κυρίως ως εναλλακτική λύση για άτομα με προβλήματα όρασης) ή άλλες παραλλαγές εργασιών τεχνητής νοημοσύνης.

Το CAPTCHA χρησιμοποιείται συχνότερα όταν είναι απαραίτητο να αποτραπεί η χρήση υπηρεσιών Διαδικτύου από τα bots, ιδίως για την αποτροπή αυτόματης εγγραφής, λήψης αρχείων, μαζικών αποστολών κ.λπ.

Υπάρχουν προγράμματα που αναγνωρίζουν συγκεκριμένες υλοποιήσεις του CAPTCHA, για παράδειγμα, το PWNtcha. Επιπλέον, είναι δυνατή η σύνδεση μονάδων από προγράμματα αναγνώρισης κειμένου γενικής χρήσης (για παράδειγμα Fine Reader) σε προγράμματα τρίτων για την αναγνώριση εικόνας CAPTCHA.

Χειροκίνητη αναγνώριση

Υπάρχει επίσης μια μέθοδος "μη αυτόματης αναγνώρισης" που χρησιμοποιεί άτομα και πόρους από ιστότοπους με υψηλή επισκεψιμότητα, για παράδειγμα, ιστότοπους πορνό. Το ρομπότ κατεβάζει το CAPTCHA από μια υπηρεσία Διαδικτύου και το δείχνει στον χρήστη του ιστότοπου πορνό, ζητώντας του να εισάγει τον κωδικό που βλέπει στην εικόνα. Σε αντάλλαγμα, ο χρήστης αποκτά πρόσβαση στον πόρο και το ρομπότ αναγνωρίζει τον κώδικα που φαίνεται στην εικόνα («μέθοδος lemming»). Μια παραλλαγή αυτής της μεθόδου είναι η υπηρεσία Captcha Exchange Server, η οποία ξεκίνησε τον Μάρτιο του 2007 και στοχεύει στην παράκαμψη εικόνων CAPTCHA που χρησιμοποιούνται από υπηρεσίες φιλοξενίας αρχείων. Η αρχή λειτουργίας της υπηρεσίας βασίζεται σε ένα σύστημα πόντων, τους οποίους ο χρήστης μπορεί να κερδίσει αναγνωρίζοντας εικόνες για άλλους χρήστες και αργότερα να ξοδέψει εκτελώντας ένα πρόγραμμα αυτόματης λήψης από υπηρεσίες φιλοξενίας αρχείων και οι εικόνες θα αναγνωρίζονται από άλλους χρήστες της υπηρεσίας. Με αυτόν τον τρόπο, ο χρήστης μπορεί να βελτιστοποιήσει τη δαπάνη του χρόνου και των χρημάτων του, συλλέγοντας πόντους όταν είναι ακόμα στον υπολογιστή και ξοδεύοντάς τους όταν είναι πιο βολικό για αυτόν να κατεβάσει (για παράδειγμα, εάν η πρόσβαση στο Διαδίκτυο είναι φθηνότερη τη νύχτα) .

Παρά τα τρωτά σημεία, αυτό δεν σημαίνει ότι οποιαδήποτε προστασία CAPTCHA δεν έχει νόημα. Εδώ παρατηρούμε την αιώνια αρχή του ανταγωνισμού μεταξύ όπλων και άμυνας.

Ρόμπερτ Μπασίροφ

Δυσκολία μαθήματος:

Επίπεδο 4- δύσκολο, απαιτεί συγκέντρωση, προσοχή στη λεπτομέρεια και αυστηρή τήρηση των οδηγιών.

Δεν διατίθεται σε εκδόσεις:

ΧΩΡΙΣ ΠΕΡΙΟΡΙΣΜΟΥΣ

Διάφοροι τρόποι για την καταπολέμηση της αυτόματης εγγραφής bot.

Προσθέστε ένα αόρατο πεδίο στη φόρμα εγγραφής και αποκρύψτε το χρησιμοποιώντας CSS. Απόκρυψη λαμβάνοντας υπόψη ότι τα ιδιαίτερα προηγμένα ρομπότ ανιχνεύουν εμφάνιση: κανένα . Το αόρατο πεδίο πρέπει να ονομαστεί κάτι ελκυστικό για τα bots στο πλαίσιο του περιεχομένου του ιστότοπου: Εταιρεία, τηλέφωνο. Μπορείτε να προσθέσετε ένα σημάδι σε αυτό το πεδίο * , - το bot θα αποφασίσει ότι η φόρμα δεν θα σταλεί χωρίς να τη συμπληρώσει.

Αυτό ακολουθείται από μια συνθήκη λογισμικού σύμφωνα με την οποία, εάν συμπληρωθεί αυτό το πεδίο, να αποκλείεται ο χρήστης ή να του επιστρέφεται η ίδια απάντηση με την επιτυχή εγγραφή.

Μια άλλη επιλογή: αντικαταστήστε το πεδίο Όνομα. Για το bot θα είναι τυπικό, για τους χρήστες θα είναι αυτό που ονομάσατε και κατά την εγγραφή μπορείτε να αλλάξετε τις τιμές. Ο αλγόριθμος εγγραφής δεν θα αλλάξει.

Προστασία IP

Πρώτα, υπάρχει πιθανότητα να εξαφανιστεί ένα συνηθισμένο άτομο που:

• έχει διακομιστή μεσολάβησης με αυτήν την IP,
• έλαβε μια δυναμική IP που βρίσκεται στη βάση δεδομένων (πολύ χαμηλή πιθανότητα),
• ένα άτομο που κατά λάθος κατέληξε στη βάση δεδομένων.

κατα δευτερον, υπάρχουν χιλιάδες και δεκάδες χιλιάδες από αυτές τις διευθύνσεις IP και δεν είναι βολικό να τις διαχειρίζεστε αποτελεσματικά. Δεν έχει νόημα να τα μπερδεύουμε για χάρη των ρομπότ, είναι πολύ πιο εύκολο να χρησιμοποιήσετε μη τυποποιημένες τεχνικές για προστασία από την αυτόματη εγγραφή. Επιπλέον, αρκετά εξειδικευμένα φόρουμ διαθέτουν ήδη μια υπηρεσία για την εγγραφή λογαριασμών όχι μέσω πληρεξούσιου, αλλά με τη διεύθυνση IP πραγματικών ανθρώπων. Προφανώς χρησιμοποιούνται botnets.

Οργανωτικά μέτρα προστασίας

Αυτή η επιλογή είναι δυνατή: μετά την εγγραφή, ο χρήστης μπαίνει στην ομάδα αρχάριοιμε ελάχιστα δικαιώματα. Μπορεί μόνο να συμπληρώσει ένα προφίλ και να απαντήσει στο φόρουμ. Απαγορεύονται προσωπικά μηνύματα, ανάρτηση συνδέσμων, προσθήκη αρχείων, άνοιγμα νέου θέματος κ.λπ. Μόλις αφήσει Ν μηνύματα στο φόρουμ (κατ' επιλογή του διαχειριστή), πηγαίνει στην ομάδα εγγεγραμμένοι χρήστες, το οποίο έχει βασικά δικαιώματα χρήστη.

Μπορείτε επίσης να δημιουργήσετε μια ομάδα Ενεργοί χρήστες, το οποίο θα έχει ένα εκτεταμένο σύνολο δικαιωμάτων και ο χρήστης θα φτάσει εκεί αφού πληκτρολογήσει M μηνύματα.

Τακτικά σε Πλαίσιο BitrixΑυτό δεν θα είναι δυνατό, χρειάζονται κάποιες βελτιώσεις. Παράδειγμα πιθανού κώδικα:

//κατά την προσθήκη ενός μηνύματος φόρουμ, εάν ο αριθμός των μηνυμάτων είναι μεγαλύτερος από FLS_NUM_POSTS, //τότε θα εκχωρήσουμε τον χρήστη σε μια ειδική ομάδα define("FLS_NUM_POSTS", 50); define("FLS_FORUM_GROUP", 27); AddEventHandler("φόρουμ", "onAfterMessageAdd", "FlsOnForumMessageAdd"); συνάρτηση FlsOnForumMessageAdd($ID, $arFields) ( $arGroups = CUser::GetUserGroup($arFields["AUTHOR_ID"]); if(!in_array(FLS_FORUM_GROUP, $arGroups)) ($arProfileUS:ERFIDARYBU "AUTHOR_ID"]); if(intval($arProfile["NUM_POSTS"]) >= FLS_NUM_POSTS-1) ( //προσθήκη στην ομάδα $arGroups = FLS_FORUM_GROUP; //γράψτε μια νέα ομάδα CUser::SetUserGroup($arFields[ "AUTHOR_ID "], $arGroups //ενημέρωση της συνεδρίας για τον τρέχοντα χρήστη if($GLOBALS["USER"]->GetID() == $arFields["AUTHOR_ID"]) CUser::SetUserGroupArray($arGroups) ) ) )

Μπορούν να παρασχεθούν τα ακόλουθα οργανωτικά μέτρα:

Όταν χρησιμοποιείτε οργανωτικά μέτρα, η ενότητα επί πληρωμή Moderator μπορεί να είναι χρήσιμη, επιτρέποντάς σας να εκδίδετε προειδοποιήσεις και ανταμοιβές στους χρήστες, να αποκλείετε χρήστες στον ιστότοπο και το φόρουμ, να αποκρύπτετε και να διαγράφετε μηνύματα από έναν συγκεκριμένο χρήστη και πολλά άλλα.

Ο πιο δύσκολος τρόπος. Όχι από την άποψη της τεχνικής υλοποίησης, αλλά από την άποψη της ευκολίας για τους χρήστες. Η ιδέα είναι απλή: η εγγραφή πραγματοποιείται σε διάφορα στάδια.

Μόνο τα bots που είναι ειδικά γραμμένα για ένα συγκεκριμένο έργο μπορούν να υποβληθούν σε τέτοια εγγραφή. Ή μη αυτόματη, ανθρώπινη εγγραφή πραγματοποιείται με την επακόλουθη μεταφορά του λογαριασμού σε bots.

Υπάρχει μια πιο ήπια επιλογή, όταν η εξουσιοδότηση πραγματοποιείται σε ένα στάδιο, αλλά στο τέλος, οι χρήστες καλούνται να ολοκληρώσουν την εξουσιοδότηση συμπληρώνοντας μερικά ακόμη πεδία. Οι χρήστες μπορούν να εξουσιοδοτηθούν στον ιστότοπο αμέσως μετά τη συμπλήρωση των ελάχιστων απαιτούμενων πεδίων. Και δώστε τους την ευκαιρία να χρησιμοποιήσουν τον ιστότοπο. Όσοι όμως από αυτούς δεν ολοκλήρωσαν την εξουσιοδότηση (δηλαδή δεν συμπλήρωσαν τα πεδία που τους ζητήθηκε να συμπληρώσουν) εμπίπτουν στην υποψία ότι είναι bot. Στο μέλλον, μπορούν να διαγραφούν ή να περιοριστούν τα δικαιώματά τους (να τοποθετηθούν στην ύποπτη ομάδα) μέχρι να συμπληρωθούν.

Και θα σας παρουσιάσω ένα από τα απαραίτητα πρόσθετα(επεκτάσεις), δηλαδή ένα μέσο για προστασία του ιστότοπού σας από ανεπιθύμητα μηνύματα. Συγκεκριμένα, θα μιλήσουμε για Πρόσθετο KeyCAPTCHA.

Είναι γνωστό ότι αυτή τη στιγμή ανεπιθυμητη αλληλογραφια(μη εξουσιοδοτημένη αποστολή email, σχολίων σε ιστότοπο ή αναρτήσεις σε φόρουμ που δεν σχετίζονται με το θέμα συζήτησης, που έχουν κυρίως διαφημιστικό χαρακτήρα) και η αυτόματη εγγραφή σε ιστότοπους και φόρουμ έχουν εξαπλωθεί τόσο πολύ που έχουν γίνει επιδημία. Επιπλέον, η εργασία αυτή ανατίθεται σε ειδικά αναπτυγμένα προγράμματα - bots.

Για την προστασία από αυτό, έχουν αναπτυχθεί ειδικά εργαλεία για την εξάλειψη τέτοιων bots και τη διασφάλιση ότι οι ενέργειες εκτελούνται από πραγματικό άτομο και όχι από αυτόματο μηχάνημα. Φυσικά, οι χάκερ εργάζονται για να βελτιώσουν την ευφυΐα των bots και υπάρχει πάντα ένα είδος ανταγωνισμού - ποιος θα κερδίσει.

Ένα από αυτά τα εργαλεία είναι (captcha). Αυτή είναι μια συντομογραφία για τις αγγλικές λέξεις "Completely Automatic Public Turing Test to Tell Computers and Humans Apart" - μεταφράζεται ως ένα πλήρως αυτόματο τεστ Turing για τη διάκριση μεταξύ υπολογιστών και ανθρώπων. Με άλλα λόγια, αυτό είναι ένα πρόβλημα που μπορεί εύκολα να λυθεί από ένα άτομο, αλλά το οποίο είναι αδύνατο (ή εξαιρετικά δύσκολο) να διδάξετε να το λύσει ένας υπολογιστής.

Το CAPTCHA χρησιμοποιείται για την αποτροπή πολλαπλών αυτοματοποιημένων εγγραφών και μηνυμάτων από ρομπότ. Δηλαδή, το καθήκον του CAPTCHA είναι να προστατεύει από ανεπιθύμητα μηνύματα, πλημμύρες και εξαγορά λογαριασμού.

Τις περισσότερες φορές, ένα CAPTCHA μοιάζει με έναν θορυβώδη τυχαίο αριθμό, λέξη ή άλλη επιγραφή, που παρουσιάζεται με τη μορφή εικόνας, την οποία ο χρήστης πρέπει να διαβάσει και να εισαγάγει το αποτέλεσμα ανάγνωσης, όπως μια τυπική captcha στο Joomla.

Επί του παρόντος, ένα από τα νεότερα και πιο δύσκολο να αποφύγεις bots είναι συνδέωΈχει σχεδιαστεί για πολλά από τα πιο κοινά (CMS) όπως το Joomla, το Drupal, το WordPress και τις μηχανές φόρουμ vBulletin, SMF, IPB, phpBB και άλλους ιστότοπους PHP.

Όπως ειπώθηκε, τα captchas βασίζονται συνήθως στην εικασία παραμορφωμένων χαρακτήρων κειμένου, οι οποίοι επίσης αντιπροσωπεύονται όχι από κείμενο, αλλά από μια εικόνα. Αντίθετα, το KeyCAPTCHA προσφέρει στον επισκέπτη ολοκληρώστε μια απλή διαδραστική εργασία. Είτε συναρμολογώντας μια εικόνα από θραύσματα (παζλ), είτε βρίσκοντας ένα ζευγάρι εικόνων με βάση το θέμα.

Μοιάζει με αυτό:

Εάν το KeyCAPTCHA επιλυθεί λανθασμένα, η σελίδα δεν ανανεώνεται, γεγονός που εμποδίζει τον χρήστη να συμπληρώσει ξανά τα πεδία της φόρμας. Αυτό επιτυγχάνεται με την αποστολή ενός αιτήματος επαλήθευσης captcha στους διακομιστές KeyCAPTCHA πριν από την υποβολή της συμπληρωμένης φόρμας στον προστατευμένο διακομιστή ιστού.

Δεν είναι δύσκολο για ένα άτομο να συλλέξει μια εικόνα, αφού Δεν απαιτείται καθόλου απόλυτη ακρίβεια τοποθέτησης, αρκεί να συλλέξουμε περίπου σωστά.

Αξιοπιστίαη εργασία εξασφαλίζεται με τα ακόλουθα μέτρα.

1. Για τη λειτουργία της υπηρεσίας KeyCAPTCHA, χρησιμοποιείται ένα geo-cluster, το οποίο περιλαμβάνει διακομιστές που βρίσκονται σε διαφορετικά κέντρα δεδομένων στην Ευρώπη. Ορισμένοι από τους διακομιστές βρίσκονται σε ειδικά κέντρα δεδομένων ανθεκτικά σε DDoS στην Ελβετία, γεγονός που εξασφαλίζει αξιόπιστη λειτουργία της υπηρεσίας 24x7x365.
2. Το KeyCAPTCHA αποκλείει τους αποστολείς ανεπιθύμητης αλληλογραφίας που χρησιμοποιούν ανωνυμοποιητές ή ανώνυμους διακομιστή μεσολάβησης HTTP για να στείλουν μη αυτόματα ανεπιθύμητα μηνύματα.
3. Το πρόγραμμα περιήγησης του επισκέπτη δεν έχει πληροφορίες σχετικά με τη σωστή λύση στο captcha.
4. Η εργασία επαληθεύεται σωστά στον διακομιστή KeyCAPTCHA.
5. Όλη η μετάδοση δεδομένων μεταξύ του διακομιστή ιστού σας, του προγράμματος περιήγησης ιστού του επισκέπτη και του διακομιστή KeyCAPTCHA προστατεύεται από ψηφιακή υπογραφή.
6. Κάθε μήνυμα που λαμβάνεται στον διακομιστή KeyCAPTCHA ή στον διακομιστή ιστού σας ελέγχεται για την ορθότητα της ψηφιακής υπογραφής.
7. Κατά τη δημιουργία μιας ψηφιακής υπογραφής, χρησιμοποιείται ένας κωδικός μεταβλητού μήκους (112-165 bit).
8. Το KeyCAPTCHA είναι ένας κώδικας προγράμματος που εκτελείται στο πρόγραμμα περιήγησης ιστού του επισκέπτη, και όχι μια στατική εικόνα, όπως στα κανονικά captcha.
9. Μόλις λάβουμε το captcha μας, δεν μπορεί να μεταβιβαστεί σε τρίτους για να ολοκληρώσουν την εργασία, όπως κάνουν οι spammers παρακάμπτοντας τα κανονικά captcha.
10. Η πιθανότητα να μαντέψετε την απάντηση τοποθετώντας κινούμενα αντικείμενα τυχαία είναι 1/30.000.000.
11. Οι εικόνες που χρησιμοποιούνται στο captcha μεταδίδονται σε κρυπτογραφημένη μορφή.

Το KeyCAPTCHA υποστηρίζει δύο τρόποι λειτουργίας: Flash και HTML5. Η λειτουργία HTML5 διασφαλίζει ότι το KeyCAPTCHA λειτουργεί στα περισσότερα σύγχρονα προγράμματα περιήγησης, όπως το Mozilla FireFox, το Google Chrome, το Safari, καθώς και σε iPhone και iPad. Η λειτουργία Flash έχει σχεδιαστεί για να λειτουργεί σε προγράμματα περιήγησης ιστού Internet Explorer και Opera. Κατά τη φόρτωση, το KeyCAPTCHA καθορίζει αυτόματα τον τρόπο λειτουργίας του ανάλογα με το πρόγραμμα περιήγησης του επισκέπτη.

Αυτό το captcha σε σχέση με το Joomla, σύμφωνα με τους προγραμματιστές (δεν το έχω ελέγξει μόνος μου), υποστηρίζει τα ακόλουθα δημοφιλή επεκτάσεις: JComments, yvComment, K2 Comments, JXtened σχόλια, VirtueMart, Community Builder, JomSocial, AlphaRegistration, K2 Registration, DFContact, ALFcontact, Phoca Guestbook, Easybook Reloaded, FlexiContact, JoomlaDonation, JoomlaDonation,Chrono,Chrono όπ ,JWHMCS Integrator.

Εκτός από αυτό το captcha για το Joomla προστατεύει τις τυπικές φόρμες Joomla: Εγγραφή, Επικοινωνήστε μαζί μας, Επαναφορά κωδικού πρόσβασης και Υπενθύμιση ονόματος χρήστη.

Για να κατεβάσετε το πρόσθετο και να μπορέσετε να εργαστείτε με αυτό, χρειάζεστε δωρεάν εγγραφήστον ιστότοπο https://www.keycaptcha.com/. Καθορίζετε σε ποιους ιστότοπους θα χρησιμοποιήσετε την προσθήκη, υποδεικνύετε τον τύπο του CMS και την έκδοσή του και λαμβάνετε έναν σύνδεσμο λήψης και έναν μοναδικό ειδικά για εσάς προσωπικό μυστικό κλειδί και κωδικό σεναρίου. Εισάγετε αυτά τα δεδομένα στις παραμέτρους της προσθήκης κατά την ενεργοποίησή τους.

Αυτά για σήμερα.

Για να μην χάσετε τίποτα δημοσιευμένο, μπορείτε εγγραφείτε σε ένα απόΤροφοδοσίες RSS: Όλες οι ειδήσεις ιστότοπου, Νέα της ενότητας "Tales of the Old User" ή Νέα της ενότητας "Android World".

Αυτό το άρθρο μπορεί να συζητηθεί στο

9 Φεβρουαρίου 2011 στις 00:28

Πώς να προστατέψετε ένα φόρουμ που υποστηρίζεται από το phpBB από αυτόματες εγγραφές

• Spam και antispam

Η μηχανή φόρουμ phpBB έχει πολλά πλεονεκτήματα, είναι βολική τόσο για τους χρήστες όσο και για τους συντονιστές και, ως εκ τούτου, είναι πολύ δημοφιλής. Αλλά είναι ακριβώς η δημοτικότητά του που προκαλεί το κύριο μειονέκτημά του - είναι ανεπιθύμητο και αυτόματα. Μετά από κάποιο χρονικό διάστημα, μια συνεχής ροή εγγραφών νέων ψεύτικων χρηστών και ανεπιθύμητων μηνυμάτων από αυτούς μπορεί να διαλύσει τα νεύρα της διαχείρισης του ιστότοπου.

Το PhpBB έκδοση 3.* στο βασικό πακέτο περιέχει έως και 4 επιλογές captcha που μπορούν να προσφερθούν στους χρήστες κατά την εγγραφή τους στο φόρουμ. Υπάρχουν μάλιστα recaptcha, ωστόσο, για τους αυτόματους υποβάλλοντες, όπως δείχνει η πρακτική, αυτό δεν αποτελεί εμπόδιο.

Αυτά τα προγράμματα γνωρίζουν πώς μοιάζουν τα τυπικά σημεία εισόδου στις σελίδες εγγραφής διαφόρων μηχανών φόρουμ. Αυτή η γνώση βασίζεται στην αναγνώριση των μοντέλων DOM ιστοσελίδων που περιέχουν φόρμες για εγγραφή νέων χρηστών, για δημοσίευση μηνυμάτων κ.λπ. Δηλαδή, για παράδειγμα, στην περίπτωση του phpBB, το ρομπότ γνωρίζει ότι το σημείο εισόδου για εγγραφή βρίσκεται στο /ucp.php?mode=register και ότι σε αυτή τη σελίδα υπάρχει ένα κουμπί όπως:

Χωρίς να υπεισέλθω σε τεχνικές λεπτομέρειες, θα σημειώσω ότι μπορείτε να βρείτε και να κάνετε κλικ σε αυτό το κουμπί σε ένα έγγραφο HTML τουλάχιστον με αναγνωριστικό ή όνομα.

Μόλις το ρομπότ φτάσει στη σελίδα με το captcha, λαμβάνει την εικόνα captcha και προσπαθεί να την αναγνωρίσει. Εδώ μπορούν να χρησιμοποιηθούν διάφορες τεχνολογίες, ανάλογα με την πολυπλοκότητα του προγράμματος, από αλγόριθμους OCR έως απλή αναγνώριση captcha από ζωντανό άτομο. Αυτός είναι ο λόγος που η προστασία δεν λειτουργεί. Η απαγόρευση διευθύνσεων IP στο φόρουμ είναι επίσης απολύτως άχρηστη, καθώς τα ρομπότ στέλνουν ανεπιθύμητα μηνύματα μέσω πολλών διακομιστών μεσολάβησης. Υπό αυτή την έννοια, δεν έχει σημασία να απαγορεύονται οι διευθύνσεις ή να καθαρίζονται νέες αυτόματες εγγραφές, με τον ένα ή τον άλλο τρόπο, όλα καταλήγουν στο χάσιμο χρόνου.

Αποδεικνύεται ότι ο μόνος τρόπος για να διακόψετε τις αυτόματες υποβολές είναι να τροποποιήσετε ελαφρώς τη σήμανση του σημείου εισόδου στο φόρουμ με μοναδικό τρόπο. Πριν από δύο τρία χρόνια έκανα αυτό το κόλπο για το phpBB2 και πέτυχε - οι αυτόματες εγγραφές σταμάτησαν. Το ίδιο πράγμα επιβεβαιώθηκε πρόσφατα σε άλλο ιστότοπο, ήδη στον κινητήρα phpBB3.

Στη συνέχεια, θα δώσω ένα συγκεκριμένο αποδεδειγμένο παράδειγμα τροποποίησης της σελίδας εγγραφής phpBB. Ωστόσο, θα ήθελα να κάνω μια επιφύλαξη ότι αυτή η ανάρτηση προσφέρει μια έννοια προστασίας από αυτόματες εγγραφές σε φόρουμ και όχι συγκεκριμένες μεθόδους. Όλα εξαρτώνται από τα χέρια και το κεφάλι του διαχειριστή του φόρουμ. Συνιστάται να έχετε βασικές γνώσεις html και css. Εάν οι αναγνώστες αρχίσουν να αντιγράφουν αυτή τη μέθοδο μαζικά, τότε οι spammers θα προγραμματίσουν αυτό το "ευρετικό" στο λογισμικό τους και οι αυτόματες εγγραφές θα συνεχιστούν.

Έτσι, στις ρυθμίσεις του φόρουμ phpBB, επιλέξτε την απλούστερη captcha "CAPTHA χωρίς GD".
Φαίνεται κάπως έτσι στο πρόγραμμα περιήγησης (FF3):

Αν κοιτάξετε τη σήμανση της σελίδας εγγραφής στην περιοχή της εικόνας captcha, μοιάζει με αυτό:

Κωδικός επιβεβαίωσης:

Στην πραγματικότητα, το χαρακτηριστικό src στην ετικέτα img περιέχει την εικόνα με το captcha. Ανοίξτε έναν φάκελο με το τρέχον θέμα εγκατεστημένο στο φόρουμ. Στην περίπτωσή μου είναι prosilver: /forum/styles/prosilver/template. Σε αυτό βρίσκουμε το αρχείο captcha_default.html. Αν κοιτάξετε αυτό το πρότυπο, μπορείτε να δείτε το μέρος όπου σχηματίζεται η παραπάνω σήμανση:

(L_CONFIRM_CODE):

Ας κάνουμε τη ζωή πιο δύσκολη για τους αυτόματους υποβάλλοντες με μια μικρή κίνηση:

Κωδικός επιβεβαίωσης:

Τώρα θα μοιάζει με αυτό στο πρόγραμμα περιήγησης:

Συμφωνώ, δεν είναι πολύ ωραίο, αλλά τώρα τα νεύρα του διαχειριστή θα είναι καλά. Οι τακτικοί χρήστες μπορούν ακόμα να εγγραφούν. Φυσικά, κατά την αναβάθμιση του κινητήρα σε νεότερη έκδοση, θα πρέπει να θυμάστε να κάνετε ξανά αυτήν την επιδιόρθωση. Ελπίζω ότι οι γενναίοι χρήστες phpbb δεν θα κολλήσουν σε αυτό το παράδειγμα, αλλά θα βρουν άλλους τρόπους για να αλλάξουν το σημείο εισόδου σύμφωνα με την προτεινόμενη έννοια ασφάλειας.