Как защитить сервер

Если взломать сервер, то можно украсть все деньги с тех платежных систем, которые подключены к обменному пункту посредством API интерфейсов.

Обычные хостинги ограничены в возможностях для тонкой настройки безопасности, поэтому мы рекомендуем размещать обменник на виртуальном выделенном сервере (VPS/VDS) и выполнить его настройку, чтобы снизить риски взлома. Как правило, у хостинг-провайдеров есть платные услуги по настройке виртуальных серверов. Привлекать сторонних специалистов для настройки можно, но только тех, кому вы доверяете.

• На хостинге (биллинг для управления услугой), где размещен ваш сайт, включите SMS-авторизацию в личный кабинет. Установите другие способы ограничения на вход, если такие предусмотрены вашим хостингом. Для хостинг-провайдера Reg.ru, как минимум, включите SMS-авторизацию и оповещение на e-mail при авторизации в личном кабинете;

• Обновите модуль Ioncube Loader до последней версии;

• Установите и настройте на сервере модуль fail2ban;

• Установите на сервере антивирус и сканер портов. Настройте регулярное сканирование файлов сервера и портов;

• Настройте брандмауэр. Заблокируйте порты для FTP, SSH и различных Shell-клиентов;

• Заблокируйте стандартные адреса к форме авторизации сервера. Например, для ISP Manager это: https://ip_адрес/manager, https://ip_адрес/manager/ispmngr, https://ip_адрес/ispmngr;

• Измените стандартный порт к форме авторизации сервера. Для ISP Manager обычно используется порт 1500. Установить любое свободное значение порта;

• Заблокируйте адрес доступа к phpmyadmin. Достаточно установить на сервере права 444 на папку с phpmyadmin;

• Заблокируйте адрес доступа к почтовым клиентам. Например, https://ip_адрес/webmail/, https://ip_адрес/roundcube/ и т.п. Достаточно установить на сервере права 444 на папку почтового клиента;

• Закройте возможность работы вебшеллов через php.ini (отредактируйте существующую или добавьте новую директиву):

  disable_functions = exec,system,passthru,shell_exec,proc_open,show_source

• Запретите загрузку файлов через allow_url_include и allow_url_fopen — это снизит риск удаленного выполнения кода:

  allow_url_fopen = Off
  allow_url_include = Off

• Отключите опасные расширения (если они не нужны). Например:

  extension = phar.so ; // если phar не используется

• Ограничьте доступ к php.ini и wp-config.php через .htaccess

  <FilesMatch "^(php\.ini|wp-config\.php)$">
      Order deny,allow
      Deny from all
  </FilesMatch>

• Для всех пользователей сервера, в том числе root, установите пароль длиной не менее 15-25 символов;

• Не храните резервные копии файлов и базы данных на сервере, особенно в корневой папке сайта.