2 самых главных метода защиты:

1. Регулярно обновлять CMS и плагины для актуальной версии
2. Не пользоваться нелицензионными скриптами (CMS, плагины)

По нашему опыту, чаще всего взламывают сайты именно тех пользователей, которые не обновляют движки и плагины. На втором месте стоят те, кто устанавливает разные крякнутые версии CMS (например, DLE) и крякнутые версии платных плагинов.

 присоединяюсь

проблемы в основном бывают у тех, кто не обновляет плагины и движки.

у меня отдельно сервер бд, и отдельно nginx+php-fpm, но это наверное с натяжкой можно отнести к "не очень сложное в реализации")

ну и каждый сайт на отдельном аккаунте конечно.

Грубо меры такие:
1. Хороший хостинг (безопасный) или свой сервер(впс/вдс) настроенный корректно
2. Изоляция каждого сайта под своего пользователя
3. Изоляция исполняемых скриптов (пхп имеет доступ только к сайту)
4. Обновление CMS/плагинов, постоянное, а не раз в году, как вспомнили или клюнуло.
5. Ограничение фтп/ссш доступ, лучше совсем исключить фтп доступ.
6. Ограничения доступа к панели.
7. Контроль изменения файлов сайта, ежедневный отчет.
8. Защита от выполнения скриптов в папках, где это не нужно - uploads, attachments и т.п.
9. Дополнительная http-авторизация для админок.
10. Специальные конфиги веб-сервера для cms, когда выполнится может только тот скрипт, который относится к сms и никакой другой.
11. никаких 777 на папки или права, если такое вам рекомендует хостер - бегите от него.

Дальше можно много еще чего перечислять.

Всем спасибо за ответы. А можно пару глупых вопросов от нетехнаря:

Это что значит? На хостинге отдельные аккаунты для каждого сайта?

На практике обновление плагинов я представляю и делаю, а вот с обновлением всей CMS не очень - например, стоит Джумла 2.5, на ней все настроено и расставлено по модулям и прочее. Если я обновлю ее до 3.3 или какой-то еще, надо ж перелопачивать все модули и плагины, все ж съедет, а многое вообще отпадет. Если я все правильно поняла? И как часто Вы обновляете CMS?


Директ Админ? Спрашивала у хостера, так и не поняла как это реализовано...

1.Изоляция - отдельные акки, как минимум включенный openbasedir так же.
2. Джумлу обновлять надо постоянно, как вышел патч, иначе потом это огромная куча обновлений, которые надо собирать в кучу. Алгоритм обновления прост - обновляется все патчами, последовательно, а не перезаписыванием исходных файлов. Мы обновляем постоянно, следим за этим.
3. Это хостер реализует, может закрыть доступ в акк только по вашему IP. Им надо просто скрипты сделать для этого.

Если у шаред хостера, то многое просто или не дадут сделать или не захотят.

Вот я уточняла у хостера, что можно сделать с Директ Админом, они сказали, что все у них и так зищищено, а мне только париться с админкой и своей личной CMS надо...

Большинство модулей и плагинов джумлы нормально работают как на 2,5 так и на 3 версии. Для джумлы не забудьте поставить права на файл configuration.php 444.

SeoKot,

Если пхп работает с правами пользователя на хостинге, то можно и 440/400 права ставить на конфиг.

Замечание модератора: Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней. Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой или обратитесь к любому из модераторов.