Poate ca titlul acestui articol nu este cel mai potrivit, deoarece voi vorbi mai mult de fapt despre protejarea conturilor de gazduire prin anumite metode care tin neaparat de hosting, dar scopul final, pana la urma, poate fi considerat securizarea datelor personale si a aplicatiilor web. Ma gandesc acum la siturile proprii, sau orice website. Securitatea unui cont de gazduire nu tine numai de proprietarul sitului, ci si de serverul respectiv care gazduieste situl. Asa ca daca vreti securitate sporita trebuie sa aveti grija de unde si pe ce sistem cumparati gazduire. Dar haideti sa presupunem ca aveti deja un cont de gazduire pe un server bine configurat si administrat, si sa vedem ce putem face pentru imbunatatirea securitatii.
De ce se sparg atatea situri in ultima vreme ?Incepand din anii 2003-2005 au aparut multe aplicatii web gratuite care permit si oamenilor cu mai putine cunostinte IT realizarea unui site web foarte usor si rapid, fara cunostinte de programare. Aceste aplicatii sunt numite CMS-uri, (sau Sisteme de gestiune a continutului – Content Managment System), care se pot instala foarte usor si multe firme, pe langa serviciile de gazduire, mai ofera si instalare automatizata a acestor aplicatii. Cred ca deja stiti foarte bine despre ce vorbesc, ma gandesc in primul rand la CMS-urile cele mai populare, cum sunt Joomla, Drupal, WordPress si alte aplicatii pentru realizarea unui website sau a unui blog. Radacina problemei consta tocmai in popularitatea a acestor aplicatii, pentru ca foarte multa lume lucreaza cu ele, adica dezvoltatori, care tot timpul mai adauga ceva in plus, mai observa erori de programare prin care se pot exploata aceste aplicatii. Deci, daca oricine foloseste oricare dintre aceste aplicatii mai cunoscute, trebuie sa le actualizeze foarte desla versiunea stabila a aplicatiei. Acest lucru insa deseori nu se intampla, sau nu se intampla la timp – 
i stiu foarte bine acest lucru si cauta continuu si automatizat astfel de tinte potentiale, ce pot fi exploatate relativ usor. O alta problema pe langa faptul ca proprietarii acestori situri nu fac actualizare destul de des (sau nicodata) este situatia cand au constinte slabe, astfel incat nici setarile, nici configurarea aplicatiilor nu sunt facute bine, expunand situl la vulnerabilitati cunoscute ce pot fi exploatate. Deci, sfatul meu este, in primul rand sa tineti aplicatiile webactualizate (up-to-date), si aveti grija la configurarea lor. Daca aveti un site scris de dumneavoastra atunci atentie la greselile de programare.
i stiu foarte bine acest lucru si cauta continuu si automatizat astfel de tinte potentiale, ce pot fi exploatate relativ usor. O alta problema pe langa faptul ca proprietarii acestori situri nu fac actualizare destul de des (sau nicodata) este situatia cand au constinte slabe, astfel incat nici setarile, nici configurarea aplicatiilor nu sunt facute bine, expunand situl la vulnerabilitati cunoscute ce pot fi exploatate. Deci, sfatul meu este, in primul rand sa tineti aplicatiile webactualizate (up-to-date), si aveti grija la configurarea lor. Daca aveti un site scris de dumneavoastra atunci atentie la greselile de programare.
Cum se sparg conturile de gazduire?Conturile de gazduire nu se sparg, ci se fura parola contului, sau mai rau, se sparge serverul respectiv. De obicei, cand cumparati gazduire veti primi parola prin email; sfatul meu este sa va schimbati parola imediat ce ati primit-o. Cand acesati un panou administrativ, cum sunt Cpanel, Plesk sau oricare altul, de obicei browserul va face o conexiune securizata prin https (http secure), care nu poate fi urmarita de terte parti, deci sansele ca parola sa va fie furata prin monitorizarea traficului dintre browserul dumneavoastra si serverul de panou administrativ nu sunt mari. Pentru a intercepta o conversatie criptata se folosesc tehnicile de session hijacking, ssl spoofing si dns spoofing. Dar astea sunt tehnici mai avansate, care se intampla doar daca exista un interes real pentru situl dumneavoastra din partea unui atacator. O posibilitate mai sporita insa poate fi considerata furtul parolei FTP de exemplu direct de pe calculatorul dumneavoastra, daca aveti notata parola intr-un fisier text necriptat si atacatorul foloseste un virus pentru a fura fisiere. O alta situatie de mentionat mai este insecuritatea protocolului FTP. Parolele FTP circula “in clar” prin retea, adica circula necriptate. Orice persoana care are acces la unul din serverele prin care trece pachetul care contine parola FTP, poate captura parola. La aceasta problema o solutie eficienta este folosirea FTPSecure. De obicei aceasta optiune exista si in panoul administrativ al contului de gazduire, sau in caz contrar putem sa ne interesam de activarea ei la furnizorul serviciului de gazduire.
Cum putem sa ne protejam directoarele si scripturile sensibile cu ajutorul fisierului .htaccess?
Fisierul .htaccess exte un fisier ascuns care poate fi copiat in orice director al unui cont de gazduire. Prin intermediul acestui fisier se pot face setari referitoare la mediul de gazduire. Aceasta inseamna ca putem introduce directive pentru apache, setari php, putem proteja anumite directoare prin parola, sau prin blocarea acesului unei adrese IP sau a unei intregi retele, ba chiar putem seta ca directorul sa fi accesibil doar de la adresa noastra. Iata, cum setam ca un director sa fie accesibil doar de la adresa noastra. Creem fisierul cu numele .htaccess si introducem urmatoarele in fisier.Atentie – numele fisierului trebuie sa inceapa neaparat cu punct si trebuie copiat neaparat in directorul pe care vrem sa-l protejam.
Exemplu fisier .htaccess – permitem accesul doar de la o singura adresa IP
order deny,allow
deny from all
allow from adresa-ip
Cu ajutorul directivei “allow from adresa-ip” putem introduce adrese multiple. Nu uitati: daca aveti o adresa IP care se schimba des, de fiecare data cand vreti sa accesati directorul trebuie sa modificati acest fisier si sa introduceti adresa dvs IP actuala.
Aceasta metoda de a proteja directoare si scripturi pare a fi foarte eficienta si in cazul aplicatiilor web CMS (content managment system). Sfatul meu este sa introduceti un fisier .htaccess in directorul principal de administrare a acestei aplicatii. In cazul in care folositi wordpress, acest director este “wp-admin”, iar in cazul joomla, numele directorului este “administrator”, si asa mai departe. Cu aceasta metoda puteti sa va protejati aplicatiile web, si conturile de gazduire impotriva atacurilor xss (cross site scripting), cand atacatorii introduc in URL comenzi php sau mysql.
Exemplu fisier .htaccess – blocarea doar a anumitor adrese ip
Aceasta metoda de a proteja directoare si scripturi pare a fi foarte eficienta si in cazul aplicatiilor web CMS (content managment system). Sfatul meu este sa introduceti un fisier .htaccess in directorul principal de administrare a acestei aplicatii. In cazul in care folositi wordpress, acest director este “wp-admin”, iar in cazul joomla, numele directorului este “administrator”, si asa mai departe. Cu aceasta metoda puteti sa va protejati aplicatiile web, si conturile de gazduire impotriva atacurilor xss (cross site scripting), cand atacatorii introduc in URL comenzi php sau mysql.
Exemplu fisier .htaccess – blocarea doar a anumitor adrese ip
order deny,allow
allow from all
deny from adresa-pe-care-vrei-sa-blochezi
Atentie: directivele setate in cadrul unui director se vor referi si la subdirectoare!
Securizarea contului de gazduire prin directive PHP
Pentru securitate sporita pe un server care ofera mediul PHP, este recomandata rularea PHP in SafeMode!
Cum functioneaza SafeMode pentru PHP
In SafeMode php verifica daca proprietarul scriptului de rulat este acelasi cu proprietarul fisierului pe care scriptul doreste sa il acceseze. Daca aceasta conditie nu se indeplineste, scriptul respectiv nu va putea opera. Aceasta setare a php-ului in viitor va disparea, pentru ca dezvoltatorii care lucreaza la PHP au creat alte metode de securizare, dar pentru moment inca functioneaza si este recomandata folosirea ei.
Cum setez ca php-ul sa se ruleze in SafeMode?
Cum functioneaza SafeMode pentru PHP
In SafeMode php verifica daca proprietarul scriptului de rulat este acelasi cu proprietarul fisierului pe care scriptul doreste sa il acceseze. Daca aceasta conditie nu se indeplineste, scriptul respectiv nu va putea opera. Aceasta setare a php-ului in viitor va disparea, pentru ca dezvoltatorii care lucreaza la PHP au creat alte metode de securizare, dar pentru moment inca functioneaza si este recomandata folosirea ei.
Cum setez ca php-ul sa se ruleze in SafeMode?
Panoul administrativ al contului de gazduire va ofera posibilitatea sa faceti aceasta setare, iar nu, este posibil sa o faceti si printr-o directiva in fisierul .htacces.
php_admin_flag safe_mode Off
sau
php_admin_value safe_mode 0
Cum seteaz ca PHP-ul sa nu se ruleze intr-un director?
Si raspunsul la aceasta intrebare il gasim tot printr-o directiva in fisierul .htaccess, pe care cream in directorul respectiv.
Si raspunsul la aceasta intrebare il gasim tot printr-o directiva in fisierul .htaccess, pe care cream in directorul respectiv.
RemoveType .php
AddType application/x-httpd-php-source .php
AddHandler application/x-httpd-php-source .php
Mai sunt multe alte modalitati de securizare a conturilor de gazduire, dar eu ma opresc aici pentru moment. Poate ca in viitor voi mai aduga si alte informatii. Pana atunci,sugestiile si comentariile dumneavoastra “are welcomed”!
Niciun comentariu:
Trimiteți un comentariu