Jump to content
paxnWo

Increased Website Security

Recommended Posts

Posted

1. Am grija ca parolele ( mysql, ftp si din panoul de administrare) sa fie greu de ghicit si diferite;

2. Instalez pe server mod_security si il configurez dupa cum am nevoie;

3. Setez permisiunile fisierelor/directoarelor sa fie minime (de obicei 640 pe fisiere si 750 pe foldere);

4. Blochez accesul in toate folderele care nu trebuie sa fie folosite de public (cache, clase etc) cu "Deny from all" in .htaccess;

5. Sterg toate fisierele/directoarele care nu sunt necesare (installer, redme, changelog etc);

6. Securizez aplicatia folosita;

6.a) Pornind de la premisa ca toate datele de intrare sunt compromise, totul trebuie validat si nimic primit din exterior nu trebuie rulat pana cand nu trece printr-o functie/metoda de sanitizare;

6.B) Pornind de la premisa ca datele care urmeaza sa fie afisate sunt compromise, nimic nu va fi afisat daca nu se trece prin filtrul de sanitizare - cu RegEx/PCRE se elimina toate tentativele de XSS, informatii care corespund diferitelor sabloane create (ex. rezultatul select-urilor sql sau continutul fisierelor .ini) etc;

Pe langa asta, daca folosesti windows iti recomand sa nu salvezi parolele in nici un loc (browser, client ftp etc). Eu folosesc Total Commander pe windows si toate sesiunile le am salvate fara parola.

by Agkelos

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...