Olá, quero mostrar-lhe algumas coisas importantes, que muitos de vocês devem saber, mas outros não vai. Este tutorial irá mostrar-lhe noções básicas sobre como proteger o seu website. Então vamos começar com o servidor e permissões: Nunca - e realmente não - definir 777 permissão em qualquer diretório / arquivo. Isso permitiria que usuários mal-intencionados para executar / excluir / mover / editar seus arquivos facilmente. Não faça arquivos .htaccess legível - que poderiam vazar dados importantes. Como configurar as permissões: chmod xxx -R / dir / a / arquivos Seguro phpMyAdmin - existem várias maneiras de fazer isso, mas um arquivo .htaccess simples deve ser suficiente. O arquivo .htaccess pode ficar assim (i usá-lo como este): AuthType Básico AuthName "Arquivos Restritos" AuthUserFile / caminho / para / senhas . / Htpasswd Exigir válida - usuário adicionar um arquivo chamado .htaccess (ele deve ter o. htaccess antes e ele precisa estar no diretório que você deseja proteger. Para phpMyAdmin sua geralmente / usr / share / phpmyadmin) Não execute o Apache como root - se você fizer isso, um usuário mal-intencionado pode usar exploits para obter acesso para o usuário apache2 - que poderia levar a um desastre real. usar este tutorial para alterar o seu usuário para apache2 : http:? //ubuntuforums....ad.php t = 927142 Seguro php - desactivar as funcionalidades desnecessárias e configurar open_basedir, que poderia salvar o seu servidor. Isso deve ajudar com o desligamento recursos para php: http: //stackoverflow...erous-functions Se você usar Apache, use mod_antiloris O que faz mod_antiloris fazer? Bem é fácil: há uma ferramenta chamada slowloris. Pessoas usá-lo para DoS um servidor -. Que significa que, eles atacá-lo, para que o servidor desliga ? Como é que mod_antiloris fazer isso . Ele abre um monte de apache processos para que o apacheserver simplesmente não pode obter o suficiente ram mais e desliga-se automaticamente Por que eles usar essa ferramenta? Porque ele usa tão pouco ressources que torna muito fácil para trazer um servidor para baixo. O que faz mod_antiloris fazer agora? Bem, um servidor entende pedidos como este: SYN - ACK - SYN - ACK Bem slowloris faz isso: ACK - ACK - ACK - ACK . O servidor abre processos e nunca fecha-los uma vez que nenhum SYN está voltando mod_antiloris detecta esses pedidos maliciosos e fecha-los em si. Nota: para instalar mod_antiloris, você precisa de olhar para ele no google, eu não posso ir indepth com a configuração, uma vez que eu só uso o Ubuntu como meu servidor. Desligue o relatório de erros php. Ninguém precisa ver erros php na página. Eles poderiam causar a um vazamento de dados e, neste caso, existe um script divulgação Caminho completo lá fora, que poderia dizer um atacante que o seu diretório é chamado. Para desativá-lo você pode adicionar: error_reporting ( 0 ); ini_set ( 'display_errors' , 0 ); ao final do seu arquivo de índice. Agora, para o programa de configuração e arquivo de instalação IPB: Use .htaccess para o admin. (Referr para o centro de segurança para esta, ou olhar acima no tutorial configuração do servidor) Renomeie o diretório admin. (Referr ao centro da Segurança) Remover dav.php se ele não é necessário. (No terminal: rm /path/to/dav.php) Usar ganchos como StopForumSpam evitar fraudes em seu fórum. (Use o site StopForumSpam para mais informações, eles têm tutoriais em profundidade para este em seu site) Antes de instalar uma pele, verificá-lo. A pele "Brilho por Tom Christian", revela o seu diretório admin no código-fonte, por exemplo, não importa o que você configurá-lo para fazer. . Você pode fazê-lo, basta abrir seu código-fonte na página de índice do seu fórum e procurando o seu link ACP Então, quando você o encontrou pode facilmente referr aos arquivos CSS (aparência e comportamento - Edit pele CSS - globalTemplate) Alterar seu nome de exibição. Usuários canuse Bruteforce para obter sua senha, mas e se eles não sabem o seu nome de usuário é chamado? Eles não podem bruta lo. Você pode fazê-lo no separador membros na ACP. Não permita que as assinaturas que são demasiado grande (eu sei que não é de segurança relacionado, mas ele pode abrandar o seu site de forma dramática) Isso pode ser feito dentro do IPB ACP (redimensionar imagens) Siga as coisas escritas no seu Centro de Segurança, IPB sabe o que eles escrevem. Use as Damas (Verificador de espaços em branco e assim por diante) por semana para que você ver se algo der errado. Remover usuários usando nomes de usuários ímpares. O que quero dizer com estranho? <script> alerta ( blabla ) </ script> é certamente estranho e isso mostra que o usuário tentou fazer um ataque XSS. XSS pode ser usado para ataques de obter dados confidenciais ou desfigurar seu site. Espero que este tutorial básico pode ajudá-lo. Todo mundo sabe, um site precisa ser mantida, por isso, fazê-lo. Saudações Cry By: Angel
Agathos, Azhaurn
Há 1 usuários navegando neste tópico. (0 registrados e 1 visitantes)
Regras do Fórum