Еще раз коротко - что делать для защиты ваших сайтов: 1. изоляция сайтов (один сайт - один эккаунт) 2. все директории и файлы cms делаем read-only 3. все директории, в которые производится загрузка файлов или кэширование - делаем read-write и кладем в них волшебный .htaccess, который либо делает deny from all либо запрещает вызов php Options -Indexes php_flag engine 0 RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml 4. на файл с данными БД ставим минимальные возможные права (например, 0400 или 0444) 5. закрываем админку через .htaccess для вашего IP или по кодовому слову (я про это уже писал ранее) 6. удаляем все ненужные плагины и шаблоны 7. обновляем cms и оставшиеся плагины до свежих версий 8. сканируем свой комп на вирусы Касперским и AVZ 9. пользуемся SFTP (SCP) протоколом при работе с сайтом и не храним пароли в клиенте 10. после проверки компьютера на вирусы меняем все пароли у сайта и хостинга (включая пароль от БД). И делаем это раз в два месяца хотя бы. Вот такие простые, казалось бы, действия избавят вас от кучи геморроя. Взято отсюда: http://vk.com/siteprotect Кто в не в курсе, советы этого человека помогли очень многим. Причем бесплатно. Взято отсюда, там же еще куча советов по защите сайтов от взлома.
При работе с сайтом нужно соблюдать технику безопасности Не реже раза в месяц меняйте все пароли: от панели управления хостингом, от админ-панели сайта, от FTP/SFTP/SSH и email. Смена паролей необходима и в том случае, если с вашим сайтом работали сторонние специалисты. Если вы создавали специальный аккаунт для подрядчика — удалите аккаунт сразу, как только работы по сайту будут завершены. Компьютер, с которого выполняется работа с сайтом, должен быть защищен коммерческим антивирусом. Если с сайтом работает несколько человек, это касается каждого. Если решение срочного вопроса застало вас в кафе или аэропорту, для работы с сайтом подключайтесь по безопасному VPN-соединению в публичных WiFi-сетях. Помните, в общественных местах пароли и любые другие конфиденциальные данные могут быть легко перехвачены программами-анализаторами трафика (снифферами). Ну, и, конечно, не забывайте создавать резервные копии сайта и регулярно выгружайте их на свой компьютер.
Заливаем .htaccess в папки uploads и templates (превентивный метод) 1. Вариант первый: создаем .htaccess и прописываем в нем php_flag engine off 2. создаем .htaccess и прописываем в нем <FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$"> Order allow,deny Deny from all </FilesMatch> Если первый способ не помог (файлы всё ещё исполняются, то попробуйте использовать второй). Если Вы используете хостинг, то может быть отключена настройка из пункта 1.
- по ftp рекомендую подключаться только через ssh (sftp) - в корень советую залить .ftpaccess с содержимым: <Limit WRITE> DenyAll </Limit> - все индексные/конфигурационные и т.п. файлы закрыть для записи (cmod 444) - если не используете cgi скрипты - закрыть папки cgi-bin для доступа (0444), также рекомендую постоянно мониторить просматривать temp,logs и т.п. директории
все вроде бы неплохо, только жаль, что это просто копипаст. Хоть бы немного приложил стараний, иначе можно просто ссылку на ресурс кинуть и все. Не одобряю, хоть и полезный материал. Пишите от своего имени, пишите своими словами. Иначе зачем нам форум?