La maggior parte delle persone su internet sono persone buone, oneste. Tuttavia, ci sono alcune persone navigando in internet che derivano divertimento da rovistando in siti Web e trovare buchi di sicurezza. Alcuni semplici consigli possono aiutare a proteggere il tuo sito Web nei modi fondamentali. Ora, ovviamente, il tema della sicurezza dei dati è complicato e ben oltre la portata di questa colonna. Tuttavia, affronterò le basi si dovrebbe fare che allevieranno molti potenziali problemi che potrebbero consentire alle persone di vedere cose che non dovrebbero.
Password protezione directory
Se avete una directory sul vostro server che dovrebbe rimanere privato, non dipendono da persone non indovinare il nome della directory. È meglio password proteggere la cartella a livello di server. Oltre il 50% dei siti web là fuori sono alimentati dai server Apache, così diamo un'occhiata a come password proteggere una directory su Apache.
Apache accetta comandi di configurazione tramite un file chiamato. htaccess che si trova nella directory. I comandi in. htaccess hanno effetto su quella cartella e sottocartella qualsiasi, a meno che una particolare sottocartella ha il proprio file. htaccess all'interno. Password proteggere una cartella, Apache utilizza anche un file chiamato. htpasswd. Questo file contiene i nomi e le password degli utenti autorizzati ad accedere. La password viene crittografata, è necessario utilizzare il programma htpasswd per creare le password. Per accedervi, andare a riga di comando del vostro server e digitare htpasswd. Se viene visualizzato un errore "comando non trovato" quindi è necessario contattare l'amministratore del sistema. Inoltre, tenete a mente che molti web host forniscono modi basati sul web per garantire una directory, quindi si possono avere cose istituito per voi per fare in quel modo, piuttosto che sul proprio. Escludendo questo, continuiamo.
Tipo "htpasswd - c. htpasswd myusername" dove "nomeutente" è il nome utente desiderato. Verrà chiesto di una password. Conferma che e il file verrà creati. È possibile controllare doppia questo via FTP. Inoltre, se il file è all'interno della cartella web, è necessario spostare così che non è accessibile al pubblico. Ora, aprire o creare file. htaccess. All'interno, sono i seguenti:
AuthUserFile /home/www/passwd/.htpasswd
AuthGroupFile/dev/null
AuthName "Cartella protetta"
AuthType Basic
richiedono valid-user
Sulla prima riga, regolare il percorso di directory per ovunque sia il tuo file. htpasswd. Una volta che questo è impostato, si otterrà una finestra di dialogo popup quando si visita quella cartella sul tuo sito Web. È necessario effettuare il login per visualizzarla.
Disattivare gli elenchi di Directory
Per impostazione predefinita, qualsiasi directory sul tuo sito Web che non hanno un file homepage riconosciuto (index. htm, default. htm, index. php, ecc.) sta andando invece visualizzare un elenco di tutti i file in quella cartella. Non si potrebbe desiderare persone a vedere tutto quello che hai su lì. Il modo più semplice per proteggere contro questo è semplicemente creare un file vuoto, il nome index. htm e poi caricarlo a quella cartella. La seconda opzione è, ancora una volta, utilizzare il file. htaccess per disabilitare l'elenco di directory. Per farlo, basta includere la riga "opzioni - indici" nel file. Ora, gli utenti avranno un errore 403, piuttosto che un elenco di file.
Rimuovere i file di installazione
Se si installa il software e gli script per il tuo sito Web, molte volte essi sono dotati di installazione o aggiornamento script. Lasciando queste sul tuo server si apre un problema di sicurezza enorme perché se qualcun altro è a conoscenza che il software, possono trovare ed eseguire gli script di installazione/aggiornamento e quindi ripristinare l'intero database, i file di configurazione, ecc. Un pacchetto di software ben scritta avviserà per rimuovere questi oggetti prima che vi permette di utilizzare il software. Tuttavia, assicurarsi che questo è stato fatto. Basta cancellare i file dal server.
Tenere il passo con gli aggiornamenti della protezione
Coloro che eseguire pacchetti software sul loro sito Web è necessario tenersi in contatto con gli aggiornamenti e avvisi di sicurezza relativi a tale software. Così facendo non può lasciare aperti agli hacker. Infatti, molte volte un evidente buco di sicurezza scoperto e segnalato e c'è un ritardo prima che il creatore del software può rilasciare una patch per esso. Qualcuno così inclinato può trovare il tuo sito in esecuzione il software e sfruttare la vulnerabilità, se non si aggiorna. Io stesso ho stato bruciato da questa un paio di volte, avendo forum intero ottenere distrutto e dover ripristinare dal backup. Succede.
Ridurre il livello di segnalazione
Parlando principalmente per PHP qui perché questo è ciò che io lavoro in, gli errori e gli avvisi generati dal PHP sono, per impostazione predefinita, stampati con informazioni complete per il tuo browser. Il problema è che questi errori di solito contengono percorsi di directory completo per gli script in questione. Via dà troppe informazioni. Per alleviare questo, ridurre il livello di PHP di segnalazione. È possibile farlo in due modi. Uno è quello di modificare il file php. ini. Questa è la configurazione principale per PHP sul server. Cercare le direttive error_reporting e display_errors. Tuttavia, se non avete accesso a questo file (molti su hosting condiviso non lo fanno), è inoltre possibile ridurre l'errore segnalazione livello utilizzando la funzione di error_reporting () di PHP. Questo include in un file globale degli script in questo modo funziona attraverso il bordo.
Fissare i moduli
Se non correttamente codice loro forme aprono un foro largo al tuo server per gli hacker. Poiché queste forme sono solitamente presentate a qualche script sul vostro server, a volte con accesso al database, una forma che non forniscono qualche protezione in grado di offrire un hacker accesso diretto a tutti i generi di cose. Tenere in mente... solo perché avete un campo di indirizzo e si dice "Indirizzo" di fronte ad esso non significa che si può fidare di persone per immettere il proprio indirizzo in quel campo. Immaginate il vostro modulo non è correttamente codificato e lo script a che sottopone non è neanche. Che cosa è fermare un hacker da entrare in una query SQL o codice di script in quel campo indirizzo? Con questo in mente, qui ci sono un paio di cose da fare e da cercare:
Uso MaxLength. Campi di input in forma possono utilizzare l'attributo maxlength nel codice HTML per limitare la lunghezza dell'input su forme. Utilizzare questo per tenere la gente di entrare in modo troppo dati. Questo fermerà la maggior parte delle persone. Un hacker può bypassare, quindi è necessario proteggere contro il sovraccarico a livello di script come pure informazioni.
Nascondere email Se si utilizza uno script form-a-mail, non includono l'indirizzo email nel modulo stesso. Sconfigge il punto e lo spam ragni possono ancora trovare il tuo indirizzo email.
Uso modulo convalida. Non voglio entrare in una lezione sulla programmazione qui, ma qualsiasi script che invia un modulo a deve convalidare l'input ricevuto. Assicurarsi che i campi ricevuti sono il previsto. Verificare che i dati in arrivo sono di lunghezza ragionevole e prevista e del formato corretto (nel caso di messaggi di posta elettronica, telefoni, cerniere, ecc.).
Evitare SQL Injection. Una lezione completa su SQL injection può essere riservata per un altro articolo, tuttavia le nozioni di base è quella forma di input è permesso di essere inseriti direttamente in una query SQL senza convalida e, quindi, dare un hacker la possibilità di eseguire SQL query tramite il vostro web form. Per evitare questo problema, verificare sempre il tipo di dati di dati in ingresso (numeri, stringhe, ecc.), eseguire la convalida di forma adeguata per sopra e scrivere query in modo tale che un hacker non può inserire nulla nella forma che renderebbe la query fare qualcosa di diverso si intende.
Conclusione
Sicurezza del sito è un soggetto piuttosto coinvolto e si ottiene molto più tecnico rispetto a questo. Tuttavia, ho dato un primer base su alcune delle cose più semplice si può fare sul tuo sito Web per alleviare la maggior parte delle minacce per il tuo sito Web.
No comments:
Post a Comment