Jak zabezpieczyć Twoją stronę przed włamaniem?

Witryna internetowa jest jak biuro firmy. Trzeba pozakładać zamki, kłódki i zabezpieczyć stronę przed włamaniami. Do tego celu posłużymy się m.in. łączem SSL, specjalnymi hasłami i ustawieniami serwera... chociaż niczego nie można zagwarantować.

Ponieważ każdy szyfr można złamać, warto robić na bieżąco kopie zapasowe bazy danych, a także plików. Jeśli korzystamy z OS CMSów, systemów zarządzania treścią,  to możemy poszukać w oficjalnych działach plikowni frazy "backup". (Np. WordPress ma plugin robiący kopie SQL co określony czas i wysyłający je na maila).

To profilaktyka. A ponieważ lepiej zapobiegać niż leczyć, zastosujmy się do kilku punktów, które uchronią nas przed częścią ataków. 

1. Zabezpieczenie katalogów hasłem. Większość komercyjnych hostingów na to pozwala. Po prostu oprócz zwykłego logowania do panelu administracyjnego opartego na PHP, można katalog ten zabezpieczyć hasłem. Wydaje się to być bezpieczniejszym rozwiązaniem.
2. Logowanie SSL. Gdziekolwiek się logujesz, wysyłasz w sieć Swoje hasło. Dlatego potrzeba, byś miał różne i trudne do złamania hasła. I byś stosował zawsze szyfrowanie SSL - nawet, gdy logujesz się do poczty. Wtedy prawdopodobieństwo przechwycenia danych jest znikome. Serwery często udostępniają tę opcję. By się bezpiecznie zalogować do Twojego panelu CMS wpisz na początku adresu https:// .
   Poza tym np. Joomla! (w wersji 1.5) ma wspomaganie SSL. Dzięki temu możesz szyfrować wybrane podstrony.
3. Używanie bezpiecznych skryptów. Wiele dodatków do CMSów jest pisanych na własne potrzeby, a później po prostu na zasadzie OS są udostępniane w Internecie. Dlatego nie licz na to, że autor zadbał o ich odporność na ataki. Na forach ruchu OS znajdziesz listę tzw. dziurawych komponentów, których w obecnej wersji nie należy używać. W tym punkcie zawiera się także aktualizacja skryptów i pobieranie ich z oficjalnych stron.
4. Rejestrowanie Globalnych Zmiennych. O ile poszczególne systemy na to pozwalają (np. OS Commerce prawdopodobnie nie pozwala), to wyłącz register globals. Po prostu w pliku .htaccess doklej kod:
   

   php_value register_globals off

5. Stosowanie odpowiednich atrybutów. Mam na myśli odpowiednie określenie dostępu do plików. Kontroluje się to poprzez FTP ustalając odpowiednio: 644 (dla plików) i 755 (dla katalogów). Niektóre foldery jak i pliki, np. /CACHE/, potrzebują atrybutów do odczytania, zapisania i wykonania (777).
6. Brak podglądu FTP. Nieraz nadarza się potrzeba stworzenia katalogów bez pliku index. Jednak musi on być zawsze - w folderze /cache/, /images/, /files/, /includes/ czy jakimkolwiek innym. Jego brak ujawni wszelkie pliki na serwerze, których lokalizacje powinny być ukryte. Dlatego do każdego folderu należy wgrać pusty (albo prawie pusty, z <head>, <body>) plik index.html.
7. PHP5. Nowa wersja języka PHP - ustaw serwer, by interpretował pliki .php jako PHP5.

Znajdziesz w Internecie jeszcze wiele sposobów na zabezpieczenia stron. Szczególnie polecam oficjalne fora dyskusyjne (joomla.pl - bardzo merytoryczne J!). Ale... nic Cię nie zwalnia z regularnego tworzenie backupów! (kopii zapasowych!)