Ik beheer een forum (phpbb3) een website (HTML) en een Weblog (Wordpress).
Het forum is beveiligd, het weblog helemaal.

Maar toch zou ik graag een duidelijk handleiding willen zien hoe men een website beveiligd tegen hackers. Dan denk ik aan SQL-injectie, cookie misbruik, misbruik bezoekers-input etc.

Misschien kunnen we tezamen een duidelijke handleiding samenstellen?
En gezamenlijk publiceren...

Dit is wel een heel uitgebreid onderwerp, want het beveiligen van een website of forum bij een hostingbedrijf is natuurlijk in het beginsel het installeren van de laatste updates en bepaalde plugins.

Maar het beveiligen van een server die je in eigen beheer hebt, is natuurlijk veel complexer. Neem alleen al het besturingssysteem van de server Windows of Linux (b.v. Cent OS), en dan nog de overige software zoals admin panels b.v. (Plesk).

Maar ik denk dat een basishandleiding(en) voor het beveiligen van bijvoorbeeld CMS (Content Management Systemen) en Fora's wel handig zijn zoals;
- Joomla
- PHPbb
- Wordpress

Meer informatie over o.a. Hacking en Malware technieken staan zeer duidelijk omschreven op de volgende website.
http://www.knowyourenemy.eu/oversite.php

phpBB3 is een kwestie van up-to-date houden en een eigen anti-spam filter inbouwen in het registratiescherm, Wordpress is heel eenvoudig goed te beveiligen (kwestie van juiste plug-ins).

Ik bedoel puur een HTML website die bij een hosting-server staat beveiligen.
Sommige hackers kunnen deze sites injecteren met malware d.m.v. SQL-injectie of d.m.v. foutmeldingen een soort codes achter de url zetten waarmee men schijnbaar een site kunnen hacken. Ik weet niet of er bestanden of codes zijn die zo'n HTML site kunnen beschermen tegen hacks. Door middel van een .htaccess bestand IP adressen blocken (deny xx.xxx.xx.xx) met behulp van een blacklist is bijna onbegonnen werk. Een gemm. hacker gebruikt simpelweg een proxy-server. En ik weet niet of je met eigen 404 pagina's (of andere foutmeldingen) ook hackers kan ontlopen. Hoe meer foutmeldingen een hacker krijgt, hoe meer informatie hij weet..

Dus, "Het beschermen van een HTML site op een externe server"

Dus, "Het beschermen van een HTML site op een externe server"

De bescherming hiervan ligt natuurlijk hoofdzakelijk bij de hoster.

Maar het beveiligen van inlog en of contact formulieren zal je echter zelf moeten doen.

Ik denk dat dit wel een leuk brainstrom topic zal worden, en ik zal zeker even informeren bij bepaalde hosters voor info.

-->> Wordt vervolgd

Maxstar schreef:

Dus, "Het beschermen van een HTML site op een externe server"

De bescherming hiervan ligt natuurlijk hoofdzakelijk bij de hoster.

Maar het beveiligen van inlog en of contact formulieren zal je echter zelf moeten doen.

Ik denk dat dit wel een leuk brainstrom topic zal worden, en ik zal zeker even informeren bij bepaalde hosters voor info.

-->> Wordt vervolgd

Ik denk juist niet dat het bij de "hoster" ligt of je moet een server hebben die full managed is door de hostende partij.
Verder is het natuurlijk van cruciaal belang om je software up2date te houden.
Ook heb je natuurlijk geen wachtwoorden zoals de naam van je hond maar maak je wachtwoorden bv met http://www.pctools.com/guides/password/

Verder moet je zorgen dat je bestanden niet uit te voeren zijn door iedereen

Wordt vervolgd

Tind.nl-Hans schreef:Verder moet je zorgen dat je bestanden niet uit te voeren zijn door iedereen.

Kijk, da's alvast tip nummer 1..

Hoe doe je dat????

Via ftp of SSH kan je een bestand chmod'en ( Wiki )
Vervolgens kan je zoals ook op de wiki staat bv uitvoeren: Ik ga er hierbij van uit dat de kennis van ftp en/of ssh er wel is.

Tind.nl-Hans schreef:Via ftp of SSH kan je een bestand chmod'en.

Dat ik daar niet eerder aan gedacht heb..

Beetje late reactie maar was even geveld door een hardnekkig griepje

Ik denk juist niet dat het bij de "hoster" ligt of je moet een server hebben die full managed is door de hostende partij.

Inderdaad, bij een "full managed" server en zeker bij een standaard hosting pakket heb je zelf geen mogelijkheden tot het aanpassen / updaten van de SQL server.
Bij sommige hostingspakketten heb je niet eens de mogelijkheid om een .htaccess bestand aan te passen.

Ik ga er hierbij van uit dat de kennis van ftp en/of ssh er wel is.

Het toepassen van chmod op bestanden is in beginsel de beveiliging, zeker als er meerdere accounts toegang hebben tot de server.

Naast het chmodden en aanpassen van het .htaccess bestand en het aanmaken van een .htpasswd bestand, is het verbergen van b.v. Javascript code ook een vorm van beveiliging.
Je verbergt dan Javascript code voor non-javascript browsers.

Daarnaast kan je natuurlijk ook FTPS / FTPES (TLS/SSL) gebruiken in je FTP programma.

En niet te vergeten is https voor bijvoorbeeld een webshop of een inlog gedeelte van een website ook een vorm van website beveiliging.

Ik heb vandaag mijn site gecheckt op XSS attacks met behulp van Web Vulnerability Scanner van Acunetix. Los van het programma zelf, levert dit ook een Firefox plugin op waarmee een site direct kan worden gecontroleerd.

Na controle bleek m'n forum, m'n website en m'n weblog niet gevoelig voor XSS attacks.

Naar aanleiding van deze interessante post meteen maar even een FTP artikel op m'n blog geplaatst..

Intressant artikel, maar misschien zou een vermelding dat het gebruik van de Verkenner (Internet Explorer) als FTP cliënt niet de veiligste zowel de onveiligste manier is.
Vooral omdat de gebruikersnaam en het wachtwoord lokaal worden opgeslagen.

"Verkenner (Internet Explorer) als FTP cliënt" ?

Dat begrijp ik niet helemaal, IE om scripts te uppen ?

???

Matrix schreef:"Verkenner (Internet Explorer) als FTP cliënt" ?

Dat begrijp ik niet helemaal, IE om scripts te uppen ?

???

Als je het FTP adres van je host in de verkenner (Internet Explorer) invoert kan je direct met je gebruikersnaam en wachtwoord inloggen.
En dit is de meest onveilige manier om op de FTP server in te loggen.

Via netwerkomgeving van Windows kan je zelfs een netwerlocatie (FTP) permanent toevoegen met gebruikersnaam en wachtwoord, zodat je niet elke keer geheel het FTP adres hoeft te gebruiken.
Er komt dan in de netwerkomgeving een pictogram te staan waarmee je direct de FTP server kunt benaderen.

Maar een PHP website zoals bijvoorbeeld Joomla is toch veel veiliger dan een website met losse HTML bestanden. ??? of zie ik dat verkeerd.