6 tips til at sikre din hjemmeside
De fleste mennesker på internettet er gode, ærlige mennesker. Men der er nogle mennesker søger på internettet, der stammer sjov fra stikke omkring hjemmesider og finde sikkerhedshuller. Et par enkle tips kan hjælpe dig med at sikre din hjemmeside i de grundlæggende måder. Nu, selvfølgelig, er genstand for datasikkerhed er en kompliceret og langt ud over anvendelsesområdet for denne kolonne. Men jeg vil tage det meget basale man bør gøre, som vil afhjælpe mange af de potentielle problemer, der kan give folk mulighed for at se ting, de skal ikke.
Password beskytte mapper
Hvis du har en mappe på din server, som bør forblive privat, ikke er afhængige af folk til ikke at gætte navnet på den mappe. Det er bedre at password beskytte den mappe på server-niveau. Over 50% af hjemmesider derude er drevet af Apache-serveren, så lad os se på, hvordan man password beskytte en mappe på Apache.
Apache tager konfiguration kommandoer via en fil kaldet. Htaccess der sidder i mappen. Kommandoerne i. Htaccess har virkning fra denne mappe og alle sub-omslag, medmindre en bestemt sub-omslag har sin egen. Htaccess fil i. At password beskytte en mappe, apache bruger også en fil kaldet. Htpasswd. Denne fil indeholder navne og adgangskoder af brugere adgang. Den password er krypteret, så du skal bruge htpasswd program til at oprette den passwords. At få adgang til det, gå til kommandolinjen på din server og type htpasswd. Hvis du modtager en “command not found” fejl, så er du nødt til at kontakte dit system admin. Også huske på, at mange værter tilbyde web-baserede metoder til at sikre et bibliotek, så de kan få ting, der er nedsat for dig at gøre det på den måde i stedet for på egen hånd. Spærring dette, lad os fortsætte.
Type “htpasswd-c. Htpasswd myusername”, hvor “myusername” er det brugernavn, du ønsker. Du vil derefter blive bedt om en adgangskode. Bekræfte det, og sagen vil blive oprettet. Du kan dobbelt-tjekke dette via ftp. Også, hvis filen er inde i din web-mappe, skal du flytte den, så det ikke er tilgængelig for offentligheden. Nu, åbne eller oprette din. Htaccess fil. Inde, omfatter følgende:
Authuserfile / home / www / passwd / .Htpasswd
Authgroupfile / dev / null
Authname “sikker mappe”
AuthType grundlæggende
Require valid-user
På den første linje, justere biblioteksstien til, hvor dine. Htpasswd filen. Når dette er sat op, vil du få en popup-dialogboks, når du besøger denne mappe på dit websted. Du vil blive forpligtet til at logge på for at se det.
Sluk directory lister
Som standard er en mappe på dit websted, der ikke har en anerkendt hjemmeside fil (index.htm, index.php, default.htm, osv.) vil i stedet vise en liste over alle filerne i mappen. Du måske ikke vil have folk til at se alt, hvad du har på der. Den enkleste måde at beskytte mod dette er simpelthen at oprette en tom fil, kald det index.htm og derefter overføre det til denne mappe. Din anden mulighed er at, igen, skal du bruge. Htaccess fil for at deaktivere katalogliste. At gøre det, bare indeholde linjen “options-indekser” i filen. Nu, vil brugerne få en 403 fejl, i stedet for en liste over filer.
Fjern installationsfilerne
Hvis du installerer software og scripts til din hjemmeside, mange gange de kommer med installation og / eller opgradere scripts. Forlader disse på din server, åbner op for et kæmpe sikkerhedsproblem for hvis en anden person er bekendt med, at software, kan de finde og vise dine installere / opgradere scripts og dermed nulstille hele databasen, config filer, osv. En velskrevet softwarepakke vil advare du at fjerne disse punkter, før der tillader dig at bruge softwaren. Dog sørge for dette er sket. Bare slette filer fra din server.
Hold op med sikkerhedsopdateringer
Dem der køre software-pakker på deres hjemmeside nødt til at holde kontakten med opdateringer og sikkerhedsadvarsler i forbindelse med denne software. Ikke at gøre det kan få dig helt åben for hackere. Faktisk en skærende sikkerhed hul mange gange er opdaget og rapporteret, og der er en vis forsinkelse, før skaberen af softwaren, som kan frigive en patch til det. Anybody så tilbøjelig kan finde dit websted, der kører softwaren og udnytte sårbarheden, hvis du ikke opgradere. Jeg har selv været brændt af dette et par gange, har hele fora få ødelagt, og at skulle gendanne fra backup. Det sker.
Reducer dit fejlrapportering niveau
Taler primært til php her, fordi det er, hvad jeg arbejder i, fejl og advarsler genereret af PHP er, som standard, trykt med fuld information til din browser. Problemet er, at disse fejl normalt indeholde fuld biblioteksstierne til scripts i spørgsmålet. Det giver sig for meget information. At afhjælpe dette, reducere fejlrapportering niveau php. Du kan gøre dette på to måder. Den ene er at justere din php.ini fil. Dette er den vigtigste konfiguration for php på din server. Se efter error_reporting og display_errors direktiver. Men hvis du ikke har adgang til denne fil (mange på delt hosting ikke), kan du også reducere fejlrapportering niveau vha. error_reporting () funktion i PHP. Inddrage dette i en samlet fil af dine scripts på den måde det vil arbejde over hele linjen.
Sikker dine formularer
Skemaer åbne op for en lang hul til din server for hackere, hvis du ikke ordentligt kode dem. Eftersom disse former er normalt indsendes til et script på din server, nogle gange med adgang til din database, en form, som ikke giver en vis beskyttelse kan give en hacker direkte adgang til alle mulige ting. Husk på … Bare fordi du har en adresse på, og det siger “adresse” foran det betyder ikke, du kan stole på folk til at indtaste deres adresse i dette område. Forestil dig at din form er ikke korrekt kodet og scriptet det gjort gældende, at det heller ikke. Hvad er at stoppe en hacker at komme ind på en SQL-forespørgsel eller script-kode i den pågældende adresse område? Med det i tankerne, her er et par ting at gøre, og kigge efter:
Brug MaxLaengde. Input felter i skemaet kan bruge MaxLaengde attribut i html for at begrænse længden af input på formularer. Brug dette til at holde folk fra at komme ind alt for meget data. Dette vil stoppe de fleste mennesker. En hacker kan omgå det, så du skal beskytte mod oplysninger overskridelse på scriptet plan.
Skjul e-mails, hvis du bruger en formular-til-mail-script, omfatter ikke de e-mail-adresse i selve formularen. Det nederlag til punkt og spam edderkopper kan stadig finde din e-mail-adresse.
Brug formularen validering. Jeg vil ikke gå ind i en lektion om programmering her, men enhver script, som en form gjort for at skulle validere input modtaget. Sikre, at de områder, der har modtaget, er de forventede felter. Kontroller, at de indgående data er rimelige og forventede længde og i det rigtige format (i tilfælde af e-mails, telefoner, lynlåse, osv.).
Undgå SQL Injection. En fuld lektion om SQL injektion kan være reserveret til en anden artikel, men det grundlæggende er at danne input får lov til at blive indsat direkte i en SQL-forespørgsel uden validering og dermed give en hacker mulighed for at udføre SQL-forespørgsler via din hjemmeside. For at undgå dette, skal du altid kontrollere datatypen for indkommende data (tal, strenge, osv.), løber en passende form validering pr ovenfor, og skrive forespørgsler på en sådan måde, at en hacker ikke kan indsætte noget i den form, som ville gøre forespørgslen gøre noget andet end du ønsker.
Konklusion
Website sikkerhed er en temmelig involveret emne, og det får en meget mere teknisk end dette. Men jeg har givet dig en grundlæggende primer på nogle af de lettere ting, du kan gøre på dit websted for at afhjælpe de fleste af trusler mod dit websted.
