О чем должны знать ваши подрядчики

Несколько простых правил от специалистов компании «Ревизиум», которые помогут снизить риски взлома и заражения вашего сайта при работе с подрядчиками / фрилансерами.

Логично, что гигиену безопасного администрирования сайта должны соблюдать не только владельцы сайта, но и их подрядчики. Согласитесь обидно, когда ваш сайт ломают по чужой вине. А вы всего-то попросили обновить движок до последней версии или отредактировать контент в разделе «О проекте».

Аутсорс

Отдавая задачи по развитию веб-ресурса на аутсорсинг, особенно если речь идет о разовой недорогой процедуре, которую можно решить силами наемного специалиста, владельцу сайта было бы не лишним инструктировать вторую сторону относительно безопасной работы с веб-проектом.

Примите тот факт, что ваши подрядчики не знают, что такое безопасная работа с сайтом, и любая дополнительная информация по данному вопросу будет актуальной и полезной для них. Ну, а если ваш знакомый фрилансер уже давно в курсе как администрировать веб-проект в безопасном режиме и неуклонно следует этим правилам, то вам крупно повезло.

Шпаргалка по безопасности при работе с подрядчиками

«Не работайте с моим сайтом из пиццерии!»

Фрилансеры и прочие наемные специалисты, работающие на «удаленке», часто выполняют свои задачи не со стационарного компьютера из дома, а сидя в кафе, торговых центрах или вовсе передвигаясь по стране или путешествуя за ее пределами, работая при этом из гостиниц, железнодорожных вокзалов или аэропортов. Удобно – сегодня WiFi есть почти везде. К сожалению, незащищенное подключение при работе в открытых WiFi-сетях чревато печальными последствиями – конфиденциальные данные (доступы к сайту, хостингу, серверу) могут быть перехвачены программами-анализаторами трафика (снифферами). Поэтому, если фрилансер работает «оттуда, где его застала» ваша задача, ему необходимо использовать безопасное VPN подключение.

«Не сохраняйте пароль от моего хостинга в Chrome!»

Сохраненные пароли в браузере, связке ключей или FTP-менеджере может легко украсть злоумышленник или троян на компьютере. Не нужно упрощать хакерам жизнь и хранить конфиденциальные данные в легко доступном месте. Много паролей, которые сложно запомнить? – Используйте для их хранения специальные программы, например, менеджер паролей KeePass или аналогичные программы. Менеджер паролей – отличный помощник для тех, кто ведет сайты сразу нескольких клиентов.

«Не используйте FTP!»

Мало кто знает, что привычный FTP совсем небезопасен, поскольку речь идет об открытом канале передачи информации, которую могут перехватить хакеры. Что делать? – Использовать для работы с файлами сайта безопасные протоколы SFTP/SCP, работать через SSH или в крайнем случае FTPS (FTP через безопасное SSL/TLS соединение). Уж если кто-то и попытается «прослушать» ваш трафик при подключении через публичную WIFI сеть, то не сможет перехватить данные аккаунтов и содержимое файлов.

«Не используйте функцию «запомнить меня на этом компьютере!»

Сохранение паролей на сайте происходит с помощью куки. Куки – вещь чувствительная и уязвимая. Если куки перехватит злоумышленник, то сможет авторизироваться в личном кабинете уже без логина и пароля. А как он воспользуется свалившегося на него счастьем – будет воровать ваш трафик или рассылать спам – остается только догадываться.

«Не работайте с моим сайтом с незащищенного компьютера!»

Компьютер, с которого выполняется администрирование вашего сайта, должен быть обязательно защищен коммерческим антивирусом и проходить регулярные проверки на наличие вирусов, троянов и программ-воришек, которые ловко «уводят» конфиденциальные данные и передают их своему «хозяину».

А с какой стати моему подрядчику следовать этим правилам? – спросите вы.

Да хотя бы потому, что благодаря вам он сможет сохранить конфиденциальность не только ваших данных, но и своих.

Ну и, конечно, не забывайте менять доступы к сайту после окончания работ, выполненных наемным специалистом, и всегда предоставляйте доступы с ограниченными правами, достаточными для выполнения конкретной задачи.

А вообще, будьте бдительны, и после того как работы на аутсорсинге завершены, проверьте ваш сайт на наличие подозрительных скриптов, фрагментов и хакерских шеллов. Поможет в этом наш сканер вредоносного кода AI-BOLIT. Затрудняетесь с расшифровкой отчета, присылайте нам на ai@revisium.com - наши специалисты посмотрят его бесплатно.

Наши услуги ИБ

Акция «3 по цене 1»
Подключите до 3х сайтов к услуге "Сайт под наблюдением" всего за 7500 2500 / мес. Скидка 66% только до конца года.
Акция действует только до 31 декабря 2017 года.
При подключении услуги "Сайт под наблюдением" для одного сайта, второй и третий на том же аккаунте подключаются бесплатно. Последующие сайты на аккаунте — 1500 руб в месяц за каждый сайт.