Инструкция
1
Для того чтобы войти на сайт с правами администратора, хакеру может потребоваться соответствующая форма авторизации. Найдя ее, он может попытаться подобрать пароль, используя брутфорсеры – программы, перебирающие пароли по словарю. Возможно, хакер уже выудил интересующие его данные (логин и пароль) из базы данных, используя обнаруженную sql-уязвимость. Чтобы завладеть сайтом, ему достаточно ввести в форму авторизации украденные данные. Соответственно, чем труднее найти админку, тем выше безопасность сайта.
2
Вы можете проверить безопасность своего ресурса, используя специальные утилиты. Например, воспользуйтесь программой Admin Finder, ее вы легко найдете в сети. Достаточно ввести в нее адрес сайта, и программа выдаст пути всех страниц, связанных с администрированием. Учтите, что некоторые антивирусы могут определять программу как нежелательный софт и блокировать ее работу. Чтобы гарантированно избежать присутствия в утилите троянской программы, ищите Admin Finder именно на хакерских ресурсах. На своих сайтах и форумах хакеры не будут выкладывать зараженные утилиты.
3
Достаточно часто хакеры проверяют файл robots.txt, в котором администраторы перечисляют запрещенные для индексирования поисковыми роботами файлы. В этом файле вполне могут находиться и необходимые злоумышленнику данные.
4
Для просмотра структуры сайта можно воспользоваться специальными сканерами. Например, хорошие результаты показывает небольшая консольная утилита SiteScaner. Запустите ее, введите адрес своего сайта. Посмотрите в выведенном списке, указаны ли страницы, которые вы хотели бы скрыть.
5
Существуют сетевые сервисы, достаточно подробно показывающие структуру сайта. Например, этот: http://defec.ru/scaner/ Введите в поисковое поле адрес своего сайта, вставьте код безопасности и нажмите кнопку SCAN. В открывшемся списке вы увидите структуру вашего интернет-ресурса.
6
При поиске админки хакер может просто перебрать самые распространенные варианты. Например, такие: /admin, /login, index/admin.php, admin.php, login.php, admin/index.php, admincp/index.php. Настраивая сайт, старайтесь избегать известных названий директорий и файлов. Это касается и баз данных – хакерским утилитам известно больше полутысячи их распространенных названий.
7
Проверьте свой ресурс на устойчивость к взлому с помощью программы XSpider. Это вполне легальный софт, его демоверсию вы можете скачать с сайта производителя. Программа предназначена для системных администраторов и позволяет получить отчет о возможных путях проникновения на интернет-ресурс.
8
Достаточно часто администраторы не выставляют права на просмотр директорий, что позволяет хакеру практически свободно путешествовать по каталогам сайта. Защитить папку от просмотра можно очень простым способом: вставьте в нее страничку index.html c текстом, сообщающим о том, что данный каталог закрыт для просмотра. При попытке заглянуть в каталог будет автоматически открываться именно эта страница.