- Opdateret software
- Admin brugeradgang
- Filtilladelser
- Adgang til filer
- PHP og andre programmer på hjemmesiden
- Eksempler
- Mere om websikkerhed
- Adgangskode
Opdateret software
Kriminelle leder konstant efter gamle versioner af software, versioner med velkendte sikkerhedshuller. De bruger søgemaskiner som Google, MSN Live Search og Yahoo til at finde hjemmesider med f.eks. Gallery , Joomla , PhpMyAdmin , WordPress etc. De kører så fuldautomatiske angreb mod de kendte sikkerhedshuller. Hvis du har installeret en gammel version af sådan software, kan dit webhotel være meget udsat for risiko!
Dit vigtigste forsvar mod skader på dine websider er derfor: Brug den seneste tilgængelige version af den software, du har installeret!
Hvis du ikke længere bruger softwaren, eller hvis softwaren ikke er tilgængelig i en sikker version , skal du slette den fra webhotellet. Det er ikke nok at fjerne linket fra din hjemmeside.
De fleste softwareleverandører har nyhedsbreve til sikkerhedsopgraderinger. Abonner på disse, og du vil være opdateret!
Bemærk også, at der er nogle typer software og noget specifikt software, som vi ikke tillader på webhosting, som er hos os af sikkerheds- og ressourcemæssige årsager.
Admin brugeradgang
Software, du installerer, har normalt sin egen admin-bruger, og dette er et populært mål for hackere, fordi admin-brugeren har adgang til at installere og redigere temaer, plugins og andre tilføjelser til softwaren.
Sørg for at have en god adgangskode til admin-brugeren, og at du har kontrol over, hvilke andre brugere der føjes til systemet.
Genbrug ikke adgangskoder, du har brugt andre steder. Se også vores andre adgangskodetips .
Sørg for, at e-mail-adresser til nulstilling af adgangskode er indtastet korrekt, og gå ikke til nogen, du ikke kender.
Filtilladelser
For at forhindre uvedkommende i at ændre eller slette noget på dit webhotel, er det vigtigt, at alle filrettigheder er indstillet korrekt . Sørg for, at dine filer og mapper ikke kan skrives af andre. Dette er med til at sikre, at ingen andre kan ændre filer, der er dine, eller få fat i dine adgangskoder.
Konfigurationsfiler, der indeholder adgangskoder, bør ikke kunne læses af andre.
Adgang til filer
En anden ting at være opmærksom på er, at kun filer, der skal være tilgængelige for webserveren, faktisk er tilgængelige. Hvis dit hjemmeområde er /home/1/m/mittnavn
, så skal dine websider være i mappen/biblioteket /home/1/m/mittnavn/www
, mens konfigurationsfiler inkluderer filer, filer, der indeholder brugernavne og adgangskoder eller andre følsomme oplysninger kan du lægge i en anden mappe/mappe (f.eks. /home/1/m/mittnavn/conf
). På den måde undgår du, at disse filer bliver direkte tilgængelige via webserveren.
PHP og andre programmer på webhotellet
Hvis du har PHP eller andre programmer (også kaldet scripts) uploadet til webhotellet, bør du også sikre dig, at alle parametre er korrekt kontrolleret, før de bruges (se eksemplerne nedenfor). Hvis ikke, risikerer du, at ondsindede brugere bevidst sender forkerte parametre, der snyder dine scripts til at gøre andre ting, end du har oprettet dem til, for eksempel at køre vilkårlige kommandoer på webserveren.
Eksempler
Her er et eksempel på, hvordan man IKKE gør det i PHP:
<?php ... $inc = ($_REQUEST["side"]); include "$inc"; ... ?>
Her bliver indholdet af $side
eksekveret ukritisk uden at tjekke hvad variablen indeholder, så enhver kan bruge scriptet til f.eks. at udtrække indholdet af dine PHP-filer (inklusive databaseadgangskoder) eller udføre vilkårlige kommandoer på webhosting. Dette er skadeligt både for din webhosting og for andre brugere af den samme webserver. Hvis vi opdager en sådan kode, vil den blive deaktiveret.
Sikkert eksempel
Her er et eksempel på, hvordan du kan placere PHP include i en undermappe "includes" og kontrollere, at de eksisterende filer er sikkert inkluderet:
<?php $page=$_REQUEST["side"]; if (!preg_match("#../#",$page) AND preg_match("#^[-a-z0-9_.]+$#i",$page) AND file_exists("includes/$page") ) { include("includes/$page");