Website Security Top 10 Tipps zur Verbesserung
1 - Update, Update, Update!
2 - Passwörter
Selbst wenn Sie Ihr Passwort nicht auf dieser Liste ist, gibt es viele falsche Vorstellungen über „starke“ Passwörter. Die laschen Anforderungen an den meisten Passwortstärke Meter sind ein Teil des Problems. Unsere Freunde bei WP-Engine haben zusammen einige interessante Forschung, die rund um Passwörter viele der Mythen entlarvt.
Wenn es darum geht, ein Passwort wählen gibt es 3 wichtige Anforderungen, die unbedingt beachtet werden sollten (CLU - Komplexe, Lang, Unique):
- COMPLEX: Passwörter sollten zufällig sein. jemand hackt Ihr Konto nicht nur lassen, weil es Ihr Geburtsdatum oder Lieblings-Sport-out-Team finden. Passwort-Programme zum Knacken können Millionen von Passwörtern in Minuten erraten. Wenn Sie echte Wörter in Ihrem Passwort haben, ist es nicht zufällig. Man könnte denken, Sie klug sind für die Verwendung von leetspeak (Buchstaben mit Zeichen L1K3 TH15 ersetzt), aber auch diese sind nicht so sicher wie eine völlig zufällige Zeichenfolge. Hacker haben einige ernsthaft beeindruckende Wortlisten für das Knacken von Kennwörtern zusammengestellt.
- LONG: Passwörter sollten 12+ Zeichen lang sein. Ich weiß, dass einige in der Sicherheits-Community zu einem 12-Zeichen-Passwort spotten würde und darauf bestehen, dass Passwörter länger sein sollten. Allerdings, wenn es um Online-Login-Systeme kommt, jedes System, das einfache Sicherheitsrichtlinien folgt sollten die Anzahl fehlgeschlagener Anmeldeversuche beschränken. Wenn es eine Begrenzung für die Anzahl fehlgeschlagener Anmeldeversuche, wird ein 12-Zeichen-Passwort leicht niemand davon abbringen, es in nur wenigen Versuchen zu erraten. Having said that, je länger das Passwort, desto besser.
- UNIQUE: Nicht Passwörter wiederverwenden! Jedes einzelne Passwort haben, sollten Sie eindeutig sein. Diese einfache Regel begrenzt dramatisch die Auswirkungen eines Kennworts beeinträchtigt werden. Jemand Ihr FTP-Passwort herausfinden, sollten sie nicht ermöglichen, Ihr E-Mail oder Internet-Banking-Konto anmelden. Entgegen der landläufigen Meinung, wir sind nicht so einzigartig wie wir glauben, sie selbst zu sein; wenn Sie zufällig das Passwort generieren, noch besser.
Ja, Sie können diese Passwort-Manager Herausforderungen darstellen und eine mögliche Schwachstelle. Gerade in dieser Woche angekündigt, Lastpass einen Kompromiss. Nicht alle Kompromisse sind die gleichen, obwohl (mehr dazu ein anderes Mal).
4 - Sensible Benutzerzugriff
5 - Ändern der Standard-CMS-Einstellungen!
Es ist in der Regel am einfachsten diesen Standard Details zu ändern, wenn Ihr CMS zu installieren, sie können aber später geändert werden.
6 - Erweiterung Auswahl
Ich mag auch im Alter der Verlängerung und die Anzahl der Installationen suchen. Eine Verlängerung von einem etablierten Autor entwickelt, die zahlreichen Installationen hat, ist viel zuverlässiger als eine, die 100 installiert hat und von einem ersten Zeit Entwicklern freigegeben. Nicht nur ist der erfahrene Entwickler viel eher eine gute Idee über beste Sicherheitspraktiken haben, aber sie sind weit weniger wahrscheinlich, ihren Ruf zu schädigen durch bösartigen Code in ihre Erweiterung einsetzen. Noch wichtiger ist, haben je größer die Nutzerbasis, desto mehr Anreiz Angreifer bei dem Versuch, es zu brechen zu investieren.
7 - Backups
8 - Server-Konfigurationsdateien
Hier sind ein paar Regeln, die ich empfehle Ihnen, Forschung und fügen Sie für Ihre Web-Server:
Es gibt viele weitere Regeln und Optionen, die Sie in Ihre Web-Server-Konfigurationsdatei suchen. Sie können für den Namen Ihres CMS, Ihren Web-Server und „Sicherheit“ suchen, aber stellen Sie sicher, dass Ihre Ergebnisse legitim bestätigen sind, bevor irgendetwas zu implementieren. Einige Leute schreiben schlechte Informationen online mit böswilliger Absicht.
9 - Installieren SSL
10 - Dateiberechtigungen
Dateiberechtigungen definieren, wer was in einer Datei tun.
Jede Datei hat drei Berechtigungen zur Verfügung und jede Berechtigung wird durch eine Ziffer dargestellt:
- ‚Lesen‚(4): Sehen Sie sich die Dateiinhalte.
- ‚Schreiben‚(2): Ändern der Dateiinhalte.
- ‚Ausführen‚(1): Führen Sie die Programmdatei oder ein Skript.
Wenn Sie mehrere Berechtigungen zulassen möchten, müssen Sie nur die Zahlen addieren. z.B. lesen (4) zu ermöglichen und write (2) Sie den Benutzer der Berechtigung zum 6. Set Wenn Sie ein Benutzer (4) lesen zulassen mögen, schreiben Sie (2) und execute (1), dann stellen Sie die Benutzerberechtigung bis 7.
Darüber hinaus gibt es drei Benutzertypen:
- Owner - Normalerweise ist der Ersteller der Datei, aber das kann geändert werden. Es kann nur ein Benutzer der Besitzer sein.
- Group - Jede Datei einer Gruppe zugeordnet ist, und jeder Benutzer, der ein Teil dieser Gruppe ist, wird diese Berechtigungen erhalten.
- Öffentlich - Jeder andere.
Also, wenn Sie der Eigentümer wollen gelesen haben - Zugang zu schreiben, die Gruppe nur lesenden Zugriff haben, und öffentlich keinen Zugang zu haben, die Berechtigungen Einstellungen der Datei sollten sein:
Wenn Sie die Dateiberechtigungen sehen wird dieser als 640 gezeigt werden.
Ordner haben auch die gleiche Berechtigungsstruktur; wobei der einzige Unterschied, dass das Flag ‚ausführen‘ können Sie das Verzeichnis Arbeitsverzeichnis machen (so dass Sie in der Regel auf).
Die meisten CMS installiert standardmäßig korrekt konfiguriert alle Berechtigungen haben, also warum habe ich damit verbringen, nur so viel Zeit, zu erklären, wie Berechtigungen arbeiten? Wenn Sie nach Lösungen, um Berechtigungen Fehlersuche, die alle über das Internet finden Sie Menschen, die Beratung Sie Dateiberechtigungen auf 666 oder Ordnerberechtigungen zu 777. Diese Beratung in der Regel alle Berechtigungen Fehler werden sich ändern beheben, aber es ist schrecklich Beratung aus einer Sicherheitsperspektive. Wenn Sie eine Datei die Erlaubnis, 666 oder Ordner Erlaubnis auf 777 festgelegt haben Sie gerade * jeder * erlaubt bösartigen Code einzufügen oder löschen Sie Ihre Dateien!
Schlussfolgerung
Über Keir Desailly
Vielen Dank für diese Keir wird auf jeden Fall, um es mit Bezug zu meinen Kunden
Sie sind über die Art und Weise SSL funktioniert sehr schlecht informiert. Sie sind richtig, über die zusätzliche Last, die es auf dem Server stellt aber der Rest ist falsch. Einige Leute behaupten, dass EV SSL die Betrügereien sind, aber das ist wegen der zusätzlichen Kosten für keine zusätzliche Sicherheit. Im Fall eines EV ist die Versicherung viel höher. Sie zahlen für eine Versicherung.
Das Problem ist wirklich die Endbenutzer, die die Warnung, dass ihre Verbindung ignoriert oder möglicherweise unsicher sein. Es ist nicht die Prämisse, dass SSL funktioniert nicht.
Ja, ich bin einverstanden, Container ist ein besserer Weg, es zu beschreiben. ‚Unbegrenzte Hosting‘ ist auch ein Haustier ärgern von mir, ich viel lieber Hosts, die die Ressourcengrenzen klar zu definieren. Nicht nur, dass Sie genau wissen, was Sie kaufen, aber sie neigen auch dazu, eine bessere Leistung.
Ich konnte nicht mehr Todd zustimmen. Ich bin ein solcher Designer. Und obwohl ich sehr unqualifizierte bin Serververwaltung zu handhaben, ich kann zumindest ein Reseller-Konto eröffnen und geben jeder ihre eigene Rechenschaft gezogen werden. Nicht nur, dass die separaten Behälter, aber es macht sie auch rechtlich verantwortlich für dessen Inhalt, und nicht ich!
Große Artikel Keir!
Sehr schöne Spitze, danke.
Fragen Sie Ihren Gastgeber, was sie tun, Sie zu schützen.
Die Leute wollen Sicherheit Plugins hinzufügen (die Sicherheitsprobleme haben können) und einige Rewrite-wp-login.php auf etwas anderes. Was bedeutet, dass sie nicht mehr von dort Hosts geschützt werden könnten, die bereits, dass man sichern (so gut wie sie können).
Jede Anwendung, die Benutzereingaben und verfügt über eine Back-End-Datenbank akzeptiert sollte einen anderen Benutzer mit den wenigsten Privilegien möglich und hat keine Root-Benutzer sein.