Częste pytania Bezpieczeństwo Ochrona przed włamaniem 
- Upewnij się że wszystkie komponenty, moduły, pluginy są w najnowszych wersjach. Często nowsze wersje oprogramowania zawierają łatki bezpieczeństwa, dzięki którym Twoja strona jest w mniejszym stopniu narażona na ataki.
- Ustaw trudne do odgadnięcia hasła do konta cPanel, MySQL, FTP, poczty oraz do konta Administratora na Twojej stronie. Nigdy nie używaj jednego hasła w wielu miejscach. Dla przykładu cPanel nie powinien mieć takiego samego hasła jak MySQL oraz FTP. Istotne jest, by hasła których używasz do logowania nie były możliwe do znalezienia w żadnym z plików znajdujących się na serwerze.
- Unikaj ustawiania praw dostępu do plików (chmod) na katalogi powyżej 755. Jeśli jakaś z aplikacji potrzebuje takich uprawnień, postaraj się by umieścić jej katalog poza głównym katalogiem plików na serwerze (public_html). Istnieje także prostsza alternatywa - zabezpieczenie katalogu plikiem .htaccess - wystarczy stworzyć taki plik i umieścić w pliku .htaccess komendę
deny from all, by zablokować publiczny dostęp do tego katalogu. - Używaj regularnie programu antywirusowego na swoim komputerze. Twój komputer także jest zagrożeniem dla bezpieczeństwa Twojej strony - niektóre wirusy mogą podglądać, jakie hasła wpisujesz, logując się na różne strony.
- Używaj bezpiecznego połączenia w momencie gdy logujesz się do konta cPanel (
https://twojadomena.pl:2083). Gdy posiadasz inny panel administracyjny, sprawdź, czy jest możliwość korzystania z bezpiecznego połączenia (łatwo je rozpoznać - zawiera literkę 's' po http, oraz w większości nowych przeglądarek pojawia się kłódeczka w widocznym miejscu), w przypadku braku takiej możliwości - skontaktuj się z administratorem hostingu, by wprowadził taką użyteczność. - Skonfiguruj Twoją stronę, by korzystała z dobrodziejstw najnowszego PHP 5.2 poprzez dodanie do pliku .htaccess następującej lini:
AddHandler application/x-httpd-php52 .php .php3 .php4 .php5 .phtml
PHP 5.2 posiada wzbogaconą, ulepszoną obsługę skryptów wykonywanych zdalnie, w związku z czym rozwiązuje to wiele problemów związanych z bezpieczeństwem Twojej strony.
- Popraw lokalne ustawienia PHP by zwiększyć bezpieczeństwo. Może to zostać zrobione poprzez wyłączenie zbędnych funkcji i opcji. Poniżej zalecamy kilka zalecanych ustawień:
allow_url_fopen=off disable_functions = proc_open, popen, disk_free_space, set_time_limit, leak, tmpfile, exec, system, shell_exec, passthru
Poniższe wskazówki mogą spowodować błędne funkcjonowanie Twojej strony - w takim przypadku spróbuj metodą prób i błędów zastosować choć część z nich. Ustawienia te powinny być wklejone do pliku php.ini w każdym folderze, w którym chcemy je zastosować.
- Jeśli nie używasz żadnych skryptów napisanych w Perlu, wyłącz ich wykonywanie na stronie. W Twoim katalogu domowym stwórz plik .htaccess zawierający następującą treść:
##Blokuje dostęp plikom do skryptów CGI, Perl, Python i plików tekstowych <FilesMatch "\.(cgi|pl|py|txt)"> Deny from all </FilesMatch>
Jeśli używasz plików robots.txt dopisz te 3 linie do pliku .htaccess:
##by umożliwić poprawną pracę temu plikowi
<FilesMatch robots.txt>
Allow from all
</FilesMatch>
Powyższe ustawienia zapobiegną wykonywaniu skryptów napisanych w Perl, CGI oraz w Pythonie. Wiele z exploitów/koni trojańskich jest napisanych w Perlu, a powyższy skrypt uniemożliwi im działanie na Twojej stronie. Komenda umieszczona w głównym katalogu strony będzie obowiązywać również w podkatalogach.
- Filtruj potencjalne zagrożenia za pomocą Apache Mod Security. Mod Security jest systemowym firewallem, który działa na poziomie Apache.
Mod Security może być w łatwy sposób uruchomiony poprzez określenie zasad w pliku .htaccess. Tutaj są przykłady, które możesz użyć na swojej stronie.
Zmieniony 23.04.2008.
przydatne 
nieprzydatne| następny artykuł » |
|---|
