Grundlegende Sicherheitsrichtlinien für den gemeinsam genutzten Hosting-Server

• Stellen Sie sicher, dass Ihr lokaler Computer sicher ist. Zu diesem Zweck verwenden Sie zuverlässige aktualisierte Antivirus-Software wie:
  • Norton Internet Security bietet Antivirus, Antispyware, Zwei-Wege Firewall, Antiphishing, usw.
    oder
  • Kaspersky Internet Security , bietet integrierten Schutz vor allen Bedrohungen aus dem Internet, wie z Control, eine persönliche Firewall, ein Anti-Spam-Filter, Privacy Control und mehr.
• Prüfen Sie, ob alle Ihre Webanwendungen auf dem neuesten Stand sind. Dies beinhaltet alle Module, Komponenten, die Sie hinzugefügt und/oder integriert haben;
• Stellen Sie sicher, dass Sie Plugins verwenden, die aus offiziellen Quellen heruntergeladen wurden. Dateien, die aus inoffiziellen Quellen heruntergeladen werden, werden oft bearbeitet, um zusätzlichen Code zu enthalten, der Hintertüren für Angreifer enthält, um eine Website zu nutzen und zu infizieren.

• Sichern Sie sich starke Passwörter für das Hauptkonto, MySQL, FTP und E-Mail-Benutzer. Verwenden Sie niemals die gleichen Passwörter für verschiedene Benutzer. Zum Beispiel sollte ein MySQL-Benutzer nicht das gleiche Passwort wie Ihr FTP-Benutzer haben;

• Vermeiden Sie Verzeichnisse mit Berechtigungen über 755. Wenn Ihre Anwendungen solche Verzeichnisse benötigen, versuchen Sie, sie außerhalb Ihrer Webroot (public_html) zu platzieren oder eine .htaccess-Datei mit “verweigern von allen” zu platzieren, um den öffentlichen Zugriff auf diese Dateien zu beschränken.

• Optimieren Sie Ihre lokalen PHP-Einstellungen für mehr Sicherheit. Dies kann durch Deaktivieren unnötiger Funktionen und Optionen erreicht werden. Hier sind einige empfohlene Beispieldirektiven:

allow_url_fopen = off

disable_functions = proc_open, popen, disk_free_space, set_time_limit, Leck, tmpfile, exec, system, shell_exec, Durchgang

Beachten Sie, dass die obigen Anweisungen die Funktionalität Ihres Codes beeinträchtigen können. Sie müssen in eine php.ini Datei in jedem Verzeichnis eingefügt werden, in dem Sie sie anwenden möchten.

• Perl und anderen Bots den Zugriff auf Ihre Seite verwehren. Dies kann leicht mit den folgenden Regeln in Ihrem .htaccess getan werden:

SetEnvIfNoCase Benutzer-Agent libwww-perl bad_bots
Ordnung verweigern, erlauben
von env = bad_bots verweigern

• Wenn Sie kein Perl-Skript verwenden, fügen Sie einen falschen Handler für diese Dateien hinzu. Erstellen Sie in Ihrem Home-Verzeichnis eine .htaccess-Datei mit folgendem Inhalt:

## Zugriff auf alle CGI-, Perl-, Python- und Textdateien verweigern
& lt; Dateimatch “. (cgi | pl | py | txt) $” &
Von allen verweigern
& lt;/FilesMatch &
## Wenn Sie eine robots.txt Datei benutzen, entfernen Sie bitte die
# Zeichen aus den folgenden 3 Zeilen, um nur den Zugriff auf die robots.txt-Datei zu erlauben:
#& lt; FilesMatch robots.txt &
#Zulassen von allen
#& lt;/FilesMatch >

Dies verhindert, dass Perl-Skripte ausgeführt werden. Viele Exploits/Backdoors werden in Perl geschrieben und die oben genannten verhindern, dass sie ausgeführt werden. Diese Direktive gilt für alle Unterverzeichnisse.

WICHTIG: Sobald Ihr Konto kompromittiert wurde, ist es sehr wahrscheinlich, dass der Eindringling eine Hintertür verlässt, um später leicht Zugang zu erhalten. Deshalb ist es vielleicht nicht genug, nur Ihren anfälligen Code zu reparieren. Das Finden der Hintertüren wird zeitaufwendig und teuer sein (erfordert einen professionellen Entwickler). Das ist, warum Sie es vorziehen, Ihre Website von Grund auf neu zu starten.