Сайт: повышаем его безопасность и производительность

Чистим сайт от виртуального мусора, который накопился за время работы. Увеличиваем производительность, убираем неиспользуемые файлы как возможные уязвимости. Если ваш сайт существует не день и не два, если он активно развивается и не раз редактировался, если он накопил много статей, иллюстраций и другого контента – все это сохраняет ваша база данных. Объем хостинга, выделенный под сайт, заполнен темами, плагинами, тестовыми сценариями и неиспользуемыми файлами. Все это снижает производительность и, что совсем плохо, увеличивает количество уязвимостей. Ухудшение работы сайта непременно приведет и к ухудшению органической выдачи.

Расскажем, как очистить серверную среду, чтобы поддержать работу сайта на нужном уровне и избежать проблем.  

1. Резервная копия

Обязательно с определенной периодичностью создавайте резервные копии – это важнейшая мера безопасности на случай непредвиденной ситуации.

Резервная копия должна:

  • создаваться автоматически с нужной периодичностью,
  • храниться вне сайта.

2. Неиспользуемые файлы, темы и плагины – в «корзину»

Разрастающееся множество файлов и компонентов может привести к увеличению времени загрузки и отклика. К тому же это усложняет управление сайтом. Поэтому чистку необходимо проводить периодически.

Чтобы провести чистку, надо определить, какие именно файлы стоит удалить, а какие оставить. Если вы используете WordPress, для определения того, насколько важен какой-либо файл, нужно добавить «test.» к имени файла, например, «test.wp-config.php». Этот шаг можно быстро выполнить через файловый менеджер cPanel или через FTP (File Transfer Protocol).

После тестирования удаляем все, что вы не используете и в дальнейшем не собираетесь использовать:

  • файлы и папки с пометками «dev», «backup», «old» и «temp»,
  • деактивированные темы или плагины,
  • неправильно названные папки,
  • незнакомые файлы размером 0 байт,
  • старые журналы ошибок,
  • старые кэшированные файлы.

Добавим, что некоторые файлы размером 0 байт могут быть помещены в определенные каталоги в целях безопасности.

3. Очищаем базу данных

А именно удаляем:

  • неиспользуемые медиафайлы,
  • старые черновики сообщений и редакции,
  • неутвержденные или спам-комментарии,
  • учетные записи «мертвых» пользователей,
  • устаревшие данные.

В большинстве случаев это легко делается с помощью «админки» (CMS). Если же  сайт переполнен спам-комментариями, можно запустить SQL-команду, чтобы удалить сообщения из базы, содержащие ключевые слова, не относящиеся к вашему веб-сайту. При этом помните о соблюдении осторожности при выполнении SQL-команд и всегда делайте резервную копию, прежде чем вносить какие-либо изменения.

4. Обновляем ПО

Любое программное обеспечение необходимо поддерживать в актуальном состоянии с помощью последних исправлений и обновлений безопасности. Убедитесь, что все темы, плагины и компоненты на вашем сайте обновлены, начиная с самой CMS. Использование устаревшей версии PHP дает больше возможностей для кибермошенников.

5. Используем брандмауэр с CDN (Content Delivery Network)

Чтобы вредоносный трафик не попадал на сайт, ставим брандмауэр. Он фильтрует трафик в режиме реального времени и защищает от вредоносного кода и кибератак.

6. Избегаем перекрестного заражения

Ваш сайт может быть заражен от другого взломанного сайта, если используется та же серверная среда. Плохая изоляция и слабые настройки учетных записей являются основными причинами перекрестного заражения. Поэтому важно проявлять осторожность при размещении множества сайтов на одном сервере. Чтобы избежать перекрестного заражения, изолируйте каждый сайт на отдельной виртуальной машине или же ставьте брандмауэр для каждого отдельного веб-сайта.

7. Регулярно сканируем сайт на наличие ВПО

Удаленные сканеры веб-сайтов способны обнаружить вредоносные программы, уязвимости, инъекции и другой вредоносный код. Однако 100% гарантию это не дает, так как они не могут сканировать на уровне сервера. 

Надежнее использовать сканер сайтов совместно с системой мониторинга, что дает возможность сканировать и проверять все файлы на сервере на наличие признаков вредоносного ПО. Эти сервисы помогут выявить бэкдоры, SEO-спам, фишинговые страницы, DDoS-скрипты и хакерские наборы.

Читайте также
Читать

Инфосек. Семь главных событий сентября

Ком­панию Uber взло­мал под­росток, «Яндекс» подвергся крупнейшей в истории рунета DDoS-атаке, YouTube игнорирует негативные сигналы пользователей, Билдер LockBit оказался в открытом доступе, у «Сбера» нашлась библиотека с голосами преступников, вышел обновлен­ный Winamp, неизвестный под ником CTurt продемонс­три­ровал «неис­пра­вимый» экс­пло­ит для PlayStation. Предлагаем Семь наиболее интересных, на наш взгляд, событий сентября.
Читать

Кибератаки на российские компании: что предсказывают эксперты

В 2023 году количество DDoS-атак на российские компании вырастет минимум на 50%, такой прогноз дает компания Swordfish Security, занимающаяся разработкой защищенного ПО и консалтинговыми услугами в области информационной безопасности. Ожидания основаны на двух серьезных причинах: возросшей организованности и оснащенности хакерских групп и отсутствии обновлений продуктов безопасности иностранных вендоров в связи с невозможностью продлить лицензию. Кроме того, налицо дефицит экспертов в области кибербезопасности. По оценкам МВД, российский рынок страдает от нехватки 170 тыс. специалистов.
Читать

The Merge: чего добилась Ethereum

The Merge Ethereum состоялось уже почти месяц назад – 15 сентября 2022 года. Вторая в мире по капитализации криптовалюта перешла на алгоритм Proof-of-Stake (PoS). The Merge подготовило почву для дальнейших улучшений масштабирования, невозможных при алгоритме Proof-of-Work. По словам разработчиков Ethereum Foundation, криптоплатформа стала на шаг ближе к достижению полноценного масштабирования, безопасности и устойчивости. Однако оправдались ли ожидания и какие проблемы Ethereum удалось решить обновлению?