Золотые правила которые я соблюдаю уже не один год и которые сведут попадание в админку всяких редисок практически на нет.
1. Переходить на https соединение, иначе любой сниффер перехватит нужный пакет, затем пара телодвижений и все данные админа на руках.
2. Установка .htpasswd. Да придется проходить двойную авторизацию при входе в админку, но это лучше, чем потом ходить и всем пускать сопли в жилетку, что меня взломали.
3. Не ходить по левым ссылкам от левых людей. Бывает, хоп и пришло неожиданно скажем во вконтактике сообщение от телочки с сиськами, мол иди сюда пупсик, я тебя давно ищу и хотела у тебя отсосать (это социнженерия, не ведись и пусть этот бот сосет сам у себя, в игнор и в бан его, тоже самое с емейл письмами и текстами, мол я не врот ипацца рекламодатель и хочу у вас купить рекламу за 100500 баксов в месяц, пусть идет в жопу, для таких дел заводи wm и второй аккаунт, но не суперадмина и только тогда общайся и ходи по ссылкам).
4. Установка антивируса на PC, у которого как минимум есть кейлоггер. (в идеале поставить каспера)
5. Не хранить пароли в тхт файлах и файловых менеджерах а-ля тотал коммандер и файлзилла, за 5 сек такие пароли выдергиваются и уводятся через трояны(даже не смотря на то, что эти менеджеры шифруют пароли)
6. Супер админа с ID1 удаляй нахер сразу после установки форума из файла конфига и регай новый профиль, ему назначай супер админа (при бруте и прочем поносе от кулхакеров первым под удар попадет юзер с id1 и если его даже и ломанут, то хакеры отсосут, когда увидят, что у id1 нет прав админа или этот юзер вообще забанен)
7. При установке любого аддона проверяй каждый файл на eval, base и т.д. Видишь подобный код, распаковывай его и смотри что внутри, если не можешь это сделать, то в топку такой аддон, какой бы он свистопердящий не был.
8. Закажи прогеру или напиши сам, если можешь анализатор логов сервака. Как правило, когда начинается какой-то замес с брутом, взломом и прочим пердежом, то идет масса однотипных пост и гет запросов. Их запросто можно задетектить и принять меры на опережение.
Тоже самое для логов в админке ксена. При малейших ошибках сразу пусть летит письмо на мейл и если в ошибках что-то стремное, то тут же отключай форум и разбирайся, что за замес начался.
Это что касается основы.
Есть еще целая масса моментов относительно сервера, на котором расположен твой ресурс, но это уже совсем другая тема.
Ну и самое главное, что ни одна защита тебя не спасет, если ты размещен на каком-нибудь козлячьем хостинге, где сисадмин за 500 руб. готов слить БД и все потроха твоего форума любому школьнику.
Ну и помни, что всё вышеописанное не остановит настоящего профи. 100%-я защита, это не делать никаких сайтов вообще)) В противном случае, коль уж ты сделал сайт и он заинтересовал серьезных людей, то настоящий хакер без особого труда найдет дырку через которую выдернет любую нужную ему информацию. Но как правило, наши с вами форумы нахер таким крутым дядькам хакерам не сдались. Они крутятся вокруг других сайтов и занимаются более серьезными делами.
Наши с вами форумы как правило интересны школоте, у которых анальный зуд и которых хлебом не корми, дай выебну...(ой)...ся перед своими корешами школолошками)) А от такой школоты хватит вполне и тех мер, о которых я написал выше.
