Informatica: Segurança de site plano basico

Rate this post

Segurança de site

A maioria das pessoas na internet são pessoas boas e honestas. No entanto, existem algumas pessoas que navegam na internet que derivam do divertimento de encontrar falhas de segurança. Algumas dicas simples podem ajudar a proteger o seu site nas formas básicas. Agora, obviamente, o objeto de segurança de dados é mais complicado e muito além do âmbito desta dica. No entanto, vou abordar o básico deve-se fazer o que irá aliviar muitos problemas potenciais que possam permitir que as pessoas vejam coisas que não devem.

Proteger Diretórios

Se você tem um diretório em seu servidor, que deve permanecer privado, não dependem de pessoas para não adivinhar o nome do diretório. É melhor proteger com senha a pasta no nível do servidor. Mais de 50% dos sites, são alimentados por servidor Apache, então vamos olhar alguma forma de proteger diretório Apache com senha.

Apache leva comandos de configuração através de um arquivo chamado .htaccess que fica no diretório. Os comandos no .htaccess têm efeito sobre essa pasta e qualquer subpasta, a menos que um subpasta particular tem seu próprio arquivo .htaccess dentro. Para proteger com senha uma pasta, apache também usa um arquivo chamado Htpasswd. Este arquivo contém os nomes e senhas de usuários de acesso. A senha é criptografada, por isso você deve usar o programa htpasswd para criar as senhas. Para acessá-lo, vá até a linha de seu servidor de comando e digite htpasswd. Se você receber um “comando não encontrado” erro, então você precisa entrar em contato com o administrador do sistema. Além disso, tenha em mente que muitos anfitriões na web fornecem maneiras baseadas na web para garantir um diretório, para que eles possam ter as coisas criadas para que você possa fazê-lo dessa maneira, em vez de em seu próprio. Exceto isso, vamos continuar.

Digite “htpasswd -c Htpasswd myusername” onde “myusername” é o nome de usuário que você deseja. Em seguida, será solicitada uma senha. Confirmá-la e o arquivo será criado. Você pode verificar isso através de FTP. Além disso, se o arquivo estiver dentro da sua pasta web, você deve movê-lo para que ele não é acessível ao público. Agora, abra ou crie seu arquivo .htaccess. No interior, incluem o seguinte:

"AuthUserFile /home/www/passwd/.htpasswd

AuthGroupFile / dev / null

AuthName "Secure Folder"

AuthType Basic"

exigem-usuário válido

Na primeira linha, ajuste o caminho do diretório para onde o arquivo .htpasswd é. Uma vez que este está configurado, você receberá uma caixa de diálogo pop-up quando visitar essa pasta em seu site. Você vai ser obrigado a fazer login para visualizá-lo.

Proteger a pagina index

Por padrão, qualquer diretório em seu site que não tem um arquivo de página inicial reconhecida (index.htm, index.php, default.htm, etc.) vai, em vez exibir uma lista de todos os arquivos nessa pasta. Você não pode querer que as pessoas vejam tudo o que você tem lá. A maneira mais simples para proteger contra isso é simplesmente criar um arquivo em branco, nomeia-o index.htm e, em seguida, enviá-lo para essa pasta. Sua segunda opção é, mais uma vez, usar o arquivo .htaccess para desativar listagem do diretório. Para isso, basta incluir a linha “Opções -Indexes” no arquivo. Agora, os usuários receberão um erro 403 em vez de uma lista de arquivos.

Remover instalar arquivos

Se você instalar o software e scripts para o seu site, muitas vezes eles vêm com a instalação e / ou atualizar scripts. Deixá-los no seu servidor abre um problema de segurança enorme, porque se alguém está familiarizado com esse software, eles podem encontrar e executar a instalação / upgrade de scripts e, assim, repor o banco de dados inteiro, arquivos de configuração, etc. Um pacote de software bem escrito irá avisá -lo a remover esses itens antes de permitir que você use o software. No entanto, certifique-se que isto foi feito. Basta apagar os arquivos do seu servidor.

Acompanhar as atualizações de segurança

Aqueles que dirigem pacotes de software em seu site precisa para se manter em contato com as atualizações e alertas de segurança relativas a esse software. Não fazer isso pode deixá-lo bem abertos para hackers. Na verdade, muitas vezes uma falha de segurança gritante é descoberto e relatado e há um atraso antes que o criador do software pode lançar um patch para ele. Alguém tão inclinado pode encontrar o seu site executando o software e explorar a vulnerabilidade, se você não atualizar. Eu mesmo tenho sido queimado por isso algumas vezes, tendo fóruns inteiras são destruídas e ter que restaurar a partir de backup. Acontece.

Reduzir o seu relatório de erros do Nível

Falando principalmente para PHP aqui porque é isso que eu trabalho, erros e avisos gerados por PHP são, por padrão, impresso com informações completas para o seu browser. O problema é que esses erros geralmente contêm caminhos do diretório completo para os scripts em questão. Ele dá muita informação. Para aliviar isso, reduzir o nível de PHP relatório de erros. Você pode fazer isso de duas maneiras. Um deles é para ajustar seu arquivo php.ini. Esta é a principal configuração para PHP no seu servidor. Procure as directivas error_reporting e display_errors. No entanto, se você não tem acesso a este arquivo (muitos em hospedagem compartilhada não), você também pode reduzir o nível de relatório de erro utilizando a função error_reporting () do PHP. Incluir isso em um arquivo mundial de seus scripts que forma ele vai trabalhar em toda a linha.

Fixe seus formulários

Os Formulário abrir um buraco largo para o seu servidor para os hackers se você não as codificar corretamente. Uma vez que estas formas são normalmente submetidos a algum script em seu servidor, às vezes com acesso ao seu banco de dados, uma forma que não fornecer alguma proteção pode oferecer um hacker acesso direto a todos os tipos de coisas. Tenha em mente … só porque você tem um campo de endereço e ele diz “Endereço” na frente dele não significa que você pode confiar nas pessoas a entrar no seu endereço nesse campo. Imagine o seu formulário não está devidamente codificado e o script que se submete a não é qualquer um. O que impede que um hacker de entrar em uma consulta SQL ou código de script em que campo de endereço? Com isso em mente, aqui estão algumas coisas para fazer e procurar:

Use MaxLength. O campo de entrada em forma pode usar o atributo maxlength no HTML para limitar o comprimento da entrada em formulários. Use isso para manter as pessoas de entrar de forma demasiada de dados. Isto irá parar a maioria das pessoas. Um hacker pode ignorá-lo, então você deve proteger contra informações invadida no nível bem.

Use validação de formulário. Eu não vou entrar em detalhe sobre a programação aqui, mas qualquer script que uma forma submete deve validar a entrada recebida. Certifique-se de que os campos recebidos são os campos esperados. Verifique se o dado de entrada é de tamanho razoável e esperado e do formato adequado (no caso de e-mails, telefones, etc.).

Evitar SQL Injection. Uma lição completa na injeção SQL pode ser reservada para um outro artigo, no entanto o básico é que é permitido a entrada de formulário a ser inserido diretamente em uma consulta SQL sem validação e, assim, dando um hacker a capacidade de executar consultas SQL através de seu formulário web. Para evitar isso, verifique sempre o tipo de dados dos dados de entrada (números, strings, etc.), dirigida validação de formulário adequado por cima, e escrever consultas de tal forma que um hacker não pode inserir qualquer coisa em forma o que tornaria a consulta fazer algo diferente do que você pretende.

Alguns plugin wordpress recomendando

Conclusão

A segurança do website é um assunto bastante envolvidos e conseguir muito mais técnica do que isso. No entanto, eu ter-lhe dado umas dicas básica sobre algumas das coisas mais fáceis que você pode fazer em seu site para aliviar a ameaças para o seu site.

Leave a Reply

18 − 4 =