Krótki przewodnik bezpieczeństwa dla użytkowników hostingu dzierżawionego
Strona 1 z 2 12 OstatniOstatni
Wyniki 1 do 10 z 19

Temat: Krótki przewodnik bezpieczeństwa dla użytkowników hostingu dzierżawionego

Hybrid View

Poprzednia wiadomość Poprzednia wiadomość   Następna wiadomość Następna wiadomość
  1. #1
    Wiarus
    Dołączył
    14-12-2007
    Wpisy
    2 025
    Punkty
    66

    Domyślny Krótki przewodnik bezpieczeństwa dla użytkowników hostingu dzierżawionego

    - Upewnij się że wszystkie komponenty, moduły, dodatki są w najnowszych wersjach. Często nowsze wersje oprogramowania zawierają łatki bezpieczeństwa, dzięki którym Twoja strona jest w mniejszym stopniu narażona na ataki;

    - Ustaw trudne do odgadnięcia hasła do konta cPanel, MySQL, FTP, poczty oraz do konta Administratora na Twojej stronie. Nigdy nie używaj jednego hasła w wielu miejscach. Dla przykładu cPanel nie powinien mieć takiego samego hasła jak MySQL oraz FTP. Istotne jest by hasła których używasz do logowania nie były możliwe do znalezienia w żadnym z plików znajdujących się na serwerze;

    - Unikaj ustawiania praw dostępu do plików (chmod) na katalogi powyżej 755. Jeśli jakaś z aplikacji potrzebuje takich uprawnień, postaraj się by umieścić jej katalog poza głównym katalogiem plików na serwerze (public_html). Istnieje także prostsza alternatywa – zabezpieczenie katalogu plikiem .htaccess – wystarczy stworzyć taki plik i umieścić w pliku .htaccess komendę „deny from all" by zablokować publiczny dostęp do tego katalogu.

    - Używaj regularnie programu antywirusowego na swoim komputerze. Twój komputer także jest zagrożeniem dla bezpieczeństwa Twojej strony – niektóre wirusy mogą podglądać jakie hasła wpisujesz logując się na różne strony;
    - Używaj bezpiecznego połączenia w momencie gdy logujesz się do konta cPanel (https://twojadomena.pl:2083). Gdy posiadasz inny panel administracyjny, sprawdź, czy jest możliwość korzystania z bezpiecznego połączenia ( łatwo je rozpoznać – zawiera literkę s po http, oraz w większości nowych przeglądarek pojawia się kłódeczka w widocznym miejscu), w przypadku braku takiej możliwości – skontaktuj się z administratorem hostingu, by wprowadził taką użyteczność;

    - Skonfiguruj Twoją stronę, by korzystała z dobrodziejstw najnowszego PHP 5.2 poprzez dodanie do pliku .htacces następującej lini:

    Kod:
    AddHandler application/x-httpd-php52 .php .php3 .php4 .php5 .phtml
    PHP 5.2 posiada wzbogaconą, ulepszoną obsługę skryptów wykonywanych zdalnie, w związku z czym rozwiązuje to wiele problemów związanych z bezpieczeństwem Twojej strony;

    - Popraw lokalne ustawienia PHP by zwiększyć bezpieczeństwo. Może to zostać zrobione poprzez wyłączenie zbędnych funkcji i opcji. Poniżej zalecamy kilka zalecanych ustawień:
    Kod:
    allow_url_fopen=off
    disable_functions = proc_open , popen, disk_free_space, set_time_limit, leak, tmpfile, exec, system, shell_exec, passthru
    Poniższe wskazówki mogą spowodować błędne funkcjonowanie Twojej strony – w takim przypadku spróbuj metodą prób i błędów zastosować choć część z nich. Ustawienia te powinny być wklejone do pliku php.ini w każdym folderze, w którym chcemy je zastosować.

    -Jeśli nie używasz żadnych skryptów napisanych w Perlu, wyłącz ich wykonywanie na stronie. W Twoim katalogu domowym stwórz plik .htaccess zawierający następującą treść:
    Kod:
    ##Blokuje dostęp plikom do skryptów CGI, Perl, Python i plików tekstowych
      <FilesMatch "\.(cgi|pl|py|txt)">
    Deny from all
    </FilesMatch>
      ##Jeśli używasz plików robots.txt dopisz te 3 linie do pliku .htacces
      ##by umożliwić poprawną pracę temu plikowi
      <FilesMatch robots.txt>
    Allow from all
    </FilesMatch>
    Powyższe ustawienia zapobiegną wykonywaniu skryptów napisanych w Perl, CGI oraz w Pythonie. Wiele z exploitów/koni trojańskich jest napisanych w Perlu, a powyższy skrypt uniemożliwi im działanie na Twojej stronie. Komenda umieszczona w głównym katalogu strony będzie obowiązywać również w podkatalogach..

    - Filtruj potencjalne zagrożenia za pomocą Apache Mod Security. Mod Security jest systemowym firewallem, który działa na poziomie Apacha
    Mod Security może być w łatwy sposób uruchomiony poprzez określenie zasad w pliku .htaccess. Tutaj są przykłady, które możesz użyć na swojej stronie.


    WAŻNE: Po tym, gdy Twoje konto zostało zaatakowane, istnieje wielkie prawdopodobieństwo że intruz zostawił sobie wejście do Twojej strony, by znów w łatwy sposób się na nią włamać. Dlatego samo nadpisywanie i poprawianie plików może być nieskuteczne. Znalezienie tylnego wejścia, które pozostawił sobie cracker jest bardzo czasochłonne i wymaga sporej wiedzy, za którą profesjonaliści każą sobie słono płacić. Dlatego często młodzi, niedoświadczeni administratorzy stron wolą zacząć przygodę ze stroną od nowa.

    Od autora : Wolne tłumaczenie artykułu dostępnego na stronie http://kb.siteground.com/article/Bas...ng_server.html
    Tłumaczenie: Łukasz Bielawski aka crazyluki

  2. #2
    Wiarus
    Dołączył
    20-11-2007
    Wpisy
    2 924
    Punkty
    51

    Domyślny

    Niezły tekst. Gratulacje za przetłumaczenie. Może warto go przypiąć w tej kategorii na forum?

  3. #3
    Bywalec
    Dołączył
    10-03-2008
    Wpisy
    276
    Punkty
    12

    Domyślny

    Czy te same knyfy można zastosować dla Joomli 1.0.13?

    JB

  4. #4
    Wiarus
    Dołączył
    14-12-2007
    Wpisy
    2 025
    Punkty
    66

    Domyślny

    do każdego CMSa można to wykorzystać...

  5. #5
    Bywalec
    Dołączył
    23-04-2009
    Skąd
    Poznań
    Wpisy
    147
    Punkty
    10

    Domyślny

    Popraw lokalne ustawienia PHP by zwiększyć bezpieczeństwo. Może to zostać zrobione poprzez wyłączenie zbędnych funkcji i opcji. Poniżej zalecamy kilka zalecanych ustawień:

    allow_url_fopen=off
    disable_functions = proc_open , popen, disk_free_space, set_time_limit, leak, tmpfile, exec, system, shell_exec, passthru

    - to dotyczy tylko localhost czy na serwerze tez dziala ?
    diii.pl

  6. #6
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 315
    Punkty
    1142

    Domyślny

    Działa, pytanie tylko - czemu ma służyć?
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

  7. #7
    Bywalec
    Dołączył
    23-04-2009
    Skąd
    Poznań
    Wpisy
    147
    Punkty
    10

    Domyślny

    No właśnie pytałem czy warto to dodawać gdy strona jest na serwerze a nie localhoscie.

    Bo rozumiem, że reszta podanego kodu poprawia bezpieczeństwo gdy strona znajduje sie na serwerze jak i localhoscie ?
    diii.pl

  8. #8
    Bywalec
    Dołączył
    06-01-2010
    Skąd
    Wrocław
    Wpisy
    143
    Punkty
    31

    Domyślny Wirus w pliku

    Mod Security może być w łatwy sposób uruchomiony poprzez określenie zasad w pliku .htaccess. Tutaj są przykłady, które możesz użyć na swojej stronie.

    Plik do pobrania zawiera wirusa

    Nazwa pliku: apache1-gotrootrules-latest.tar.gz

  9. #9
    Bywalec
    Dołączył
    09-12-2006
    Skąd
    Lubliniec
    Wpisy
    302
    Punkty
    14

    Domyślny

    Dodam jak zbanować turków w cPanelu:

    Przykładowy turecki ip dokonujący ataków to 78.172.160.47.
    Aby go zbanować na swoim serwerze należy wejść do sekcji "Bezpieczeństwo" potem "Blokada IP" i wpisać najlepiej
    Kod:
    78.
    co zbanuje cały zakres ip od 78.0.0.0 do 78.255.255.255
    Pozdrawiam Keran
    ________________________
    • webwizard.pl - projektowanie stron i sklepów internetowych.

  10. #10
    Bywalec
    Dołączył
    30-12-2010
    Wpisy
    186
    Punkty
    11

    Domyślny

    młodzi, niedoświadczeni administratorzy stron
    1) biorąc pod uwagę zagrożenia, przed jakimi stoją strony internetowe tworzone na podstawie J!, czy początkujący w J!, którzy dopiero uczą się sposobów zabezpieczania strony mogą w najbliższym czasie stworzyć bezpieczny popularny serwis internetowy? Czy może od początku dać sobie spokój i zająć się kopaniem ziemniaków?

    2) czy istnieje możliwość powierzenia komuś (np. jakiejś firmie) sprawy zabezpieczania mojej witryny? Czy można znaleźć profesjonalnych, pewnych, godnych zaufania informatyków chętnych do współpracy? Czy firmy świadczą takie usługi? Chodzi o to, by pozostać właścicielem strony, portalu, ale powierzyć zabezpieczanie go profesjonalistom

Strona 1 z 2 12 OstatniOstatni

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •