Krótki przewodnik bezpieczeństwa dla użytkowników hostingu dzierżawionego
Wyniki 1 do 5 z 5

Temat: Krótki przewodnik bezpieczeństwa dla użytkowników hostingu dzierżawionego

  1. #1
    Wiarus
    Dołączył
    14-12-2007
    Wpisy
    2 025
    Punkty
    66

    Domyślny Krótki przewodnik bezpieczeństwa dla użytkowników hostingu dzierżawionego

    Krótki przewodnik bezpieczeństwa dla użytkowników hostingu dzierżawionego
    - Upewnij się że wszystkie komponenty, moduły, pluginy są w najnowszych wersjach. Często nowsze wersje oprogramowania zawierają łatki bezpieczeństwa, dzięki którym Twoja strona jest w mniejszym stopniu narażona na ataki;

    - Ustaw trudne do odgadnięcia hasła do konta cPanel, MySQL, FTP, poczty oraz do konta Administratora na Twojej stronie. Nigdy nie używaj jednego hasła w wielu miejscach. Dla przykładu cPanel nie powinien mieć takiego samego hasła jak MySQL oraz ftp. Istotne jest by hasła których używasz do logowania nie były możliwe do znalezienia w żadnym z plików znajdujących się na serwerze;

    - Unikaj ustawiania praw dostępu do plików (chmod) na katalogi powyżej 755. Jeśli jakaś z aplikacji potrzebuje takich uprawnień, postaraj się by umieścić jej katalog poza głównym katalogiem plików na serwerze (public_html). Istnieje także prostsza alternatywa – zabezpieczenie katalogu plikiem .htaccess – wystarczy stworzyć taki plik i umieścić w pliku .htaccess komendę „deny from all" by zablokować publiczny dostęp do tego katalogu.

    - Używaj regularnie programu antywirusowego na swoim komputerze. Twój komputer także jest zagrożeniem dla bezpieczeństwa Twojej strony – niektóre wirusy mogą podglądać jakie hasła wpisujesz logując się na różne strony;
    - Używaj bezpiecznego połączenia w momencie gdy logujesz się do konta cPanel (https://twojadomena.pl:2083). Gdy posiadasz inny panel administracyjny, sprawdź, czy jest możliwość korzystania z bezpiecznego połączenia ( łatwo je rozpoznać – zawiera literkę s po http, oraz w większości nowych przeglądarek pojawia się kłódeczka w widocznym miejscu), w przypadku braku takiej możliwości – skontaktuj się z administratorem hostingu, by wprowadził taką użyteczność;

    - Skonfiguruj Twoją stronę, by korzystała z dobrodziejstw najnowszego PHP 5.2 poprzez dodanie do pliku .htacces następującej lini:

    AddHandler application/x-httpd-php52 .php .php3 .php4 .php5 .phtml

    PHP 5.2 posiada wzbogaconą, ulepszoną obsługę skryptów wykonywanych zdalnie, w związku z czym rozwiązuje to wiele problemów związanych z bezpieczeństwem Twojej strony;

    - Popraw lokalne ustawienia PHP by zwiększyć bezpieczeństwo. Może to zostać zrobione poprzez wyłączenie zbędnych funkcji i opcji. Poniżej zalecamy kilka zalecanych ustawień:
    allow_url_fopen=off
    disable_functions = proc_open , popen, disk_free_space, set_time_limit, leak, tmpfile, exec, system, shell_exec, passthru


    Poniższe wskazówki mogą spowodować błędne funkcjonowanie Twojej strony – w takim przypadku spróbuj metodą prób i błędów zastosować choć część z nich. Ustawienia te powinny być wklejone do pliku php.ini w każdym folderze, w którym chcemy je zastosować.

    -Jeśli nie używasz żadnych skryptów napisanych w Perlu, wyłącz ich wykonywanie na stronie. W Twoim katalogu domowym stwórz plik .htaccess zawierający następującą treść:
    ##Blokuje dostęp plikom do skryptów CGI, Perl, Python i plików tekstowych
    <FilesMatch "\.(cgi|pl|py|txt)">
    Deny from all
    </FilesMatch>

    ##Jeśli używasz plików robots.txt dopisz te 3 linie do pliku .htacces
    ##by umożliwić poprawną pracę temu plikowi
    <FilesMatch robots.txt>
    Allow from all
    </FilesMatch>

    Powyższe ustawienia zapobiegną wykonywaniu skryptów napisanych w Perl, CGI oraz w Pythonie. Wiele z exploitów/koni trojańskich jest napisanych w Perlu, a powyższy skrypt uniemożliwi im działanie na Twojej stronie. Komenda umieszczona w głównym katalogu strony będzie obowiązywać również w podkatalogach..

    - Filtruj potencjalne zagrożenia za pomocą Apache Mod Security. Mod Security jest systemowym firewallem, który działa na poziomie Apacha
    Mod Security może być w łatwy sposób uruchomiony poprzez określenie zasad w pliku .htaccess. Tutaj są przykłady, które możesz użyć na swojej stronie.


    WAŻNE: Po tym, gdy Twoje konto zostało zaatakowane, istnieje wielkie prawdopodobieństwo że intruz zostawił sobie wejście do Twojej strony, by znów w łatwy sposób się na nią włamać. Dlatego samo nadpisywanie i poprawianie plików może być nieskuteczne. Znalezienie tylnego wejścia, które pozostawił sobie cracker jest bardzo czasochłonne i wymaga sporej wiedzy, za którą profesjonaliści każą sobie słono płacić. Dlatego często młodzi, niedoświadczeni administratorzy stron wolą zacząć przygodę ze stroną od nowa.






    Od autora : Wolne tłumaczenie artykułu dostępnego na stronie http://kb.siteground.com/article/Bas...ng_server.html
    Tłumaczenie: Łukasz Bielawski aka crazyluki

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    kurtz
    Gość

    Domyślny

    yeah! good work dude

    tylko wiesz, tu większość dzierżawi też subdomeny ;)

  4. #3
    Wiarus
    Dołączył
    14-12-2007
    Wpisy
    2 025
    Punkty
    66

    Domyślny

    moje pierwsze tłumaczenie artykuł został dodany także do faq na pomoc.joomla.pl, więc od teraz z z dziesięciokrotnie większą siłą będę posyłał ludzi pod ten adres

  5. #4
    Bywalec
    Dołączył
    10-03-2008
    Wpisy
    276
    Punkty
    12

    Domyślny Plik .htaccess

    Dzięki za artykuł. Wiele mi podpowiedział. Z racji tego, że chcę opublikowac w sieci mój serwisik i jako żem zielony w wielu sprawach proszę szanownych Kolegów o odpowiedzi:
    1. Po instalacji Joomli powstaje plik .htaccess z jakimiś tam wpisami. Czy mam te wpisy usunąć, a umieszczać te, które Koledzy w wielu wątkach tu proponujecie.
    2. Czy jest możliwość otrzymania od Was jakiś plików .htaccess, żeby obejrzeć od wewnątrz fachowo przygotowane zabezpieczenia?
    3. Gdzieś czytałem o pliku, który nazywał się jakoś .htpasword (to nie było tak, jak napisałem, ale nie pamiętam). Jak go założyć i co w nim wpisać?

    Dzięki za życzliwe uwagi i wskazówki
    JB

  6. #5
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 315
    Punkty
    1142
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •