Ik beheer een forum (phpbb3) een website (HTML) en een Weblog (Wordpress).
Het forum is beveiligd, het weblog helemaal.
Maar toch zou ik graag een duidelijk handleiding willen zien hoe men een website beveiligd tegen hackers. Dan denk ik aan SQL-injectie, cookie misbruik, misbruik bezoekers-input etc.
Misschien kunnen we tezamen een duidelijke handleiding samenstellen?
En gezamenlijk publiceren...
2
Dit is wel een heel uitgebreid onderwerp, want het beveiligen van een website of forum bij een hostingbedrijf is natuurlijk in het beginsel het installeren van de laatste updates en bepaalde plugins.
Maar het beveiligen van een server die je in eigen beheer hebt, is natuurlijk veel complexer. Neem alleen al het besturingssysteem van de server Windows of Linux (b.v. Cent OS), en dan nog de overige software zoals admin panels b.v. (Plesk).
Maar ik denk dat een basishandleiding(en) voor het beveiligen van bijvoorbeeld CMS (Content Management Systemen) en Fora's wel handig zijn zoals;
- Joomla
- PHPbb
- Wordpress
Meer informatie over o.a. Hacking en Malware technieken staan zeer duidelijk omschreven op de volgende website.
http://www.knowyourenemy.eu/oversite.php
Maar het beveiligen van een server die je in eigen beheer hebt, is natuurlijk veel complexer. Neem alleen al het besturingssysteem van de server Windows of Linux (b.v. Cent OS), en dan nog de overige software zoals admin panels b.v. (Plesk).
Maar ik denk dat een basishandleiding(en) voor het beveiligen van bijvoorbeeld CMS (Content Management Systemen) en Fora's wel handig zijn zoals;
- Joomla
- PHPbb
- Wordpress
Meer informatie over o.a. Hacking en Malware technieken staan zeer duidelijk omschreven op de volgende website.
http://www.knowyourenemy.eu/oversite.php
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
3
phpBB3 is een kwestie van up-to-date houden en een eigen anti-spam filter inbouwen in het registratiescherm, Wordpress is heel eenvoudig goed te beveiligen (kwestie van juiste plug-ins).
Ik bedoel puur een HTML website die bij een hosting-server staat beveiligen.
Sommige hackers kunnen deze sites injecteren met malware d.m.v. SQL-injectie of d.m.v. foutmeldingen een soort codes achter de url zetten waarmee men schijnbaar een site kunnen hacken. Ik weet niet of er bestanden of codes zijn die zo'n HTML site kunnen beschermen tegen hacks. Door middel van een .htaccess bestand IP adressen blocken (deny xx.xxx.xx.xx) met behulp van een blacklist is bijna onbegonnen werk. Een gemm. hacker gebruikt simpelweg een proxy-server. En ik weet niet of je met eigen 404 pagina's (of andere foutmeldingen) ook hackers kan ontlopen. Hoe meer foutmeldingen een hacker krijgt, hoe meer informatie hij weet..
Dus, "Het beschermen van een HTML site op een externe server"
Ik bedoel puur een HTML website die bij een hosting-server staat beveiligen.
Sommige hackers kunnen deze sites injecteren met malware d.m.v. SQL-injectie of d.m.v. foutmeldingen een soort codes achter de url zetten waarmee men schijnbaar een site kunnen hacken. Ik weet niet of er bestanden of codes zijn die zo'n HTML site kunnen beschermen tegen hacks. Door middel van een .htaccess bestand IP adressen blocken (deny xx.xxx.xx.xx) met behulp van een blacklist is bijna onbegonnen werk. Een gemm. hacker gebruikt simpelweg een proxy-server. En ik weet niet of je met eigen 404 pagina's (of andere foutmeldingen) ook hackers kan ontlopen. Hoe meer foutmeldingen een hacker krijgt, hoe meer informatie hij weet..
Dus, "Het beschermen van een HTML site op een externe server"
4
Maar het beveiligen van inlog en of contact formulieren zal je echter zelf moeten doen.
Ik denk dat dit wel een leuk brainstrom topic zal worden, en ik zal zeker even informeren bij bepaalde hosters voor info.
-->> Wordt vervolgd
De bescherming hiervan ligt natuurlijk hoofdzakelijk bij de hoster.Dus, "Het beschermen van een HTML site op een externe server"
Maar het beveiligen van inlog en of contact formulieren zal je echter zelf moeten doen.
Ik denk dat dit wel een leuk brainstrom topic zal worden, en ik zal zeker even informeren bij bepaalde hosters voor info.
-->> Wordt vervolgd
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
5
Verder is het natuurlijk van cruciaal belang om je software up2date te houden.
Ook heb je natuurlijk geen wachtwoorden zoals de naam van je hond maar maak je wachtwoorden bv met http://www.pctools.com/guides/password/
Verder moet je zorgen dat je bestanden niet uit te voeren zijn door iedereen
Wordt vervolgd
Ik denk juist niet dat het bij de "hoster" ligt of je moet een server hebben die full managed is door de hostende partij.Maxstar schreef:De bescherming hiervan ligt natuurlijk hoofdzakelijk bij de hoster.Dus, "Het beschermen van een HTML site op een externe server"
Maar het beveiligen van inlog en of contact formulieren zal je echter zelf moeten doen.
Ik denk dat dit wel een leuk brainstrom topic zal worden, en ik zal zeker even informeren bij bepaalde hosters voor info.
-->> Wordt vervolgd
Verder is het natuurlijk van cruciaal belang om je software up2date te houden.
Ook heb je natuurlijk geen wachtwoorden zoals de naam van je hond maar maak je wachtwoorden bv met http://www.pctools.com/guides/password/
Verder moet je zorgen dat je bestanden niet uit te voeren zijn door iedereen
Wordt vervolgd
//Hans O0
Van der Toorn Internetdiensten
Van der Toorn Internetdiensten
7
Via ftp of SSH kan je een bestand chmod'en ( Wiki )
Vervolgens kan je zoals ook op de wiki staat bv uitvoeren:
Ik ga er hierbij van uit dat de kennis van ftp en/of ssh er wel is.
Vervolgens kan je zoals ook op de wiki staat bv uitvoeren:
Code: Selecteer alles
chmod 664 sets read and write access for the owner, the group, and not for all others.
//Hans O0
Van der Toorn Internetdiensten
Van der Toorn Internetdiensten
9
Beetje late reactie maar was even geveld door een hardnekkig griepje
Bij sommige hostingspakketten heb je niet eens de mogelijkheid om een .htaccess bestand aan te passen.
Naast het chmodden en aanpassen van het .htaccess bestand en het aanmaken van een .htpasswd bestand, is het verbergen van b.v. Javascript code ook een vorm van beveiliging.
Je verbergt dan Javascript code voor non-javascript browsers.
Daarnaast kan je natuurlijk ook FTPS / FTPES (TLS/SSL) gebruiken in je FTP programma.
En niet te vergeten is https voor bijvoorbeeld een webshop of een inlog gedeelte van een website ook een vorm van website beveiliging.
Inderdaad, bij een "full managed" server en zeker bij een standaard hosting pakket heb je zelf geen mogelijkheden tot het aanpassen / updaten van de SQL server.Ik denk juist niet dat het bij de "hoster" ligt of je moet een server hebben die full managed is door de hostende partij.
Bij sommige hostingspakketten heb je niet eens de mogelijkheid om een .htaccess bestand aan te passen.
Het toepassen van chmod op bestanden is in beginsel de beveiliging, zeker als er meerdere accounts toegang hebben tot de server.Ik ga er hierbij van uit dat de kennis van ftp en/of ssh er wel is.
Naast het chmodden en aanpassen van het .htaccess bestand en het aanmaken van een .htpasswd bestand, is het verbergen van b.v. Javascript code ook een vorm van beveiliging.
Je verbergt dan Javascript code voor non-javascript browsers.
Daarnaast kan je natuurlijk ook FTPS / FTPES (TLS/SSL) gebruiken in je FTP programma.
En niet te vergeten is https voor bijvoorbeeld een webshop of een inlog gedeelte van een website ook een vorm van website beveiliging.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
10
Ik heb vandaag mijn site gecheckt op XSS attacks met behulp van Web Vulnerability Scanner van Acunetix. Los van het programma zelf, levert dit ook een Firefox plugin op waarmee een site direct kan worden gecontroleerd.
Na controle bleek m'n forum, m'n website en m'n weblog niet gevoelig voor XSS attacks.
Na controle bleek m'n forum, m'n website en m'n weblog niet gevoelig voor XSS attacks.
11
Naar aanleiding van deze interessante post meteen maar even een FTP artikel op m'n blog geplaatst..
12
Intressant artikel, maar misschien zou een vermelding dat het gebruik van de Verkenner (Internet Explorer) als FTP cliënt niet de veiligste zowel de onveiligste manier is.
Vooral omdat de gebruikersnaam en het wachtwoord lokaal worden opgeslagen.
Vooral omdat de gebruikersnaam en het wachtwoord lokaal worden opgeslagen.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
14
En dit is de meest onveilige manier om op de FTP server in te loggen.
Via netwerkomgeving van Windows kan je zelfs een netwerlocatie (FTP) permanent toevoegen met gebruikersnaam en wachtwoord, zodat je niet elke keer geheel het FTP adres hoeft te gebruiken.
Er komt dan in de netwerkomgeving een pictogram te staan waarmee je direct de FTP server kunt benaderen.
Als je het FTP adres van je host in de verkenner (Internet Explorer) invoert kan je direct met je gebruikersnaam en wachtwoord inloggen.Matrix schreef:"Verkenner (Internet Explorer) als FTP cliënt" ?
Dat begrijp ik niet helemaal, IE om scripts te uppen ?
???
En dit is de meest onveilige manier om op de FTP server in te loggen.
Via netwerkomgeving van Windows kan je zelfs een netwerlocatie (FTP) permanent toevoegen met gebruikersnaam en wachtwoord, zodat je niet elke keer geheel het FTP adres hoeft te gebruiken.
Er komt dan in de netwerkomgeving een pictogram te staan waarmee je direct de FTP server kunt benaderen.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)