Меня всегда забавлял фанатичный подход к безопасности веб-приложения. Нет, я ничего не имею против этого. Но подходить к вопросу необходимо с холодным рассудком и грамотно организовывать безопасность по всем фронтам.

Некоторые же занимаются защитой ради защиты. В WordPress они переносят админку в папку DFjkKSnx38, затем ставят блокировку по IP-адресу. После чего упорно продолжают защищать вход в администраторский аккаунт, разрешая только 4 ошибки при вводе пароле за 20 минут, блокируя IP-адрес в ином случае. Они устанавливают SSL и используют только HTTPS. Затем ставят captch`у и вход через openID, сервер которого находится в контейнере корабля посреди тихого океана.

Понимаете о чем я? И их все равно взламывают с тем же успехом. Просто потому что они не учитывают одной важной детали.

Представим, что они идеально защитили свой WordPress-блог. Представили? И на следующий день его легко взламывают!

Вопрос: Как это могло произойти?

Подход профессионалов

А потому что пытаться взломать Ваш скрипт в лоб будет лишь взломщик-неудачник. Или отчаявшийся профессионал, не нашедший другого способа.

Запомните! Профессиональный взлом — это всегда нестандартный подход.

Зачем взламывать Ваш супер-защищенный блог, если в соседней папке на хостинге находится блог-скрипторешето Вашей младшей сестрички, которая только вчера научилась вставлять картинки в пост?

Запомните! Система настолько уязвима, насколько уязвим ее самый слабый участок.

Пропатчивая и тюнингуя свой блог, защищая его всеми возможными способами до потери пульса, Вы лишь тешите себя ложной уверенностью в пуленепробиваемости собственного сайта.

Опыт phpBB

Недавно взломали официальный сайт phpBB. И это скрипт, разрабатывающийся уже более 9 лет!

Вы думаете, что взломщик ночами и днями изучал скрипт phpBB в поисках незафильтрованных параметров для SQL-инъекции? Вы думаете он годами изучал исходный код форума? Вы думаете он использовал мощнейший ботнет для брутфорса пароля?

Хер на! Он просто зашел на milw0rm.com, увидел сообщение о новой уязвимости в PHPlist, и взломал этот скрипт на сайте phpBB, который там использовался для рассылки новостей.

И плевать на десятки тысяч часов, потраченных огромным количество людей по всему миру, для защиты phpBB.

Все! Красивый взлом — это всегда заход с той стороны, где тебя не ждут. Сколько защит сайтов пало, сосредоточившись лишь на своем сайте.

Думайте!

Поэтому перед тем как приступить к защите блога, убедитесь, что в соседней папке с WordPress не лежит скрипт гостевой книги школьника Вани.

Этим топиком я просто хочу предложить Вам подумать над своим подходом к безопасности.

И желаю, чтобы Вам попадались только безопасные веб-приложения!