Безопасность работы с фрилансерами

После того как мой сервер один раз взламывали я стал немного параноиком) Понадобилось тут подпилить один сайт, нашел фрилансера. Без того чтобы давать ему доступ к сайту по ftp никак, отсюда вопрос: как себя защитить? (отзывов у него вроде куча, рейтинг большой, но все равно стремно)

Сделать перед этим бэкап это понятно. А что еще? Вдруг он где-нибудь оставит шелл, и задействует его лишь через пару месяцев. Какие есть еще варианты перестраховки?

 

Как вариант что первое пришло в голову (но это скорее всего костыли) - у меня подключен вот этот сервис (рефка) https://monitorus.ru/#welcome20645 ) скрипт сам прячешь на сайте.. делаешь снимок файлов сайта и сервис начинает в зависимости от настроек (частоты проверки и.т.п) пробивать на изменения вносимые на сайт (удаление, изменение, добавление файлов) и случае чего сразу приходит уведомление на почту, sms и.т.п по сути этим скриптом можно будет даже проконтролировать что и где делал фрилансер на сайте (какие файлы, менял, изменял и.т.п), но опять таки это скорее всего костыли возможно есть более простое решение

 

1. Слепок файлов сайта: http://f-seo.ru/master/index.php?threads/Всякие-полезнявые-штуки.2308/#post-54842
2. Полный дамп (и файлов и БД).
3. После работ - проверить слепок сайта (в тех файлах в которых отличия - сравнить, например, в Total Commander-е по содержимому (в том числе и изображения)), тоже самое проделать обязательно с дампом БД (на предмет, что появилось или поменялось).
4. Сменить пароли (FTP и админка, если пароли совпадали еще и от почты (так часто бывает) - там тоже (и ответ на секретный вопрос + проверить пересылку (например, в mail.ru их два вида - просто правила пересылки (перенаправления) и фильтры))).
p.s. Иметь в виду - что если на хостинге несколько сайтов, то загрузив шел на исправляемом могут подняться на уровень выше и шел оставить на другом.

 

А если у других сайтов стоят другие пользователи в правах, то разве смогут они подняться выше?

 

От хостинга зависит (как настроят). Тут самое простое - взять загрузить себе веб-шел и попробовать зайти выше.

 

Слить сайт фрилансеру без данных (статейник с 1 статьей, например) для локальной доработки и попросить видеоинструкцию, какие файлы потом тебе заменить на боевом сайте. Их и проверишь. Ну или на поддомене закрытом от индексации копию поднять, и потом спросить, какие файлы переносить на боевой. Меньше гемора с проверками и пох на доступы.

 

Дохрена гиммороя.

Удорожание правок.

 

Да ну. На поддомене развернуть WP залить одну статью - 30 мин. max.
Это потом останется на будущие эксперименты.

Просто (без всякого видео) попросить задокументировать что именно правили.
Можно даже по упрощенной схеме: имя файла и номера строк в которые внесены изменения.

 

Самое простое - указать в каких файлах были правки. А потом самостоятельно сравнить через Total Commander ("Файл" => "Сравнить по содержимому").
Главное - внимательно сравнивать.

 

Спасибо))