marți, 2 decembrie 2008

Cum sa imbunatatesti securitatea unui site

Un website ce este motorizat de un CMS (Content Management System) este un lucru foarte frumos. Dar poate fi si o tinta pentru hackeri sau alte neplaceri.

Bineinteles, nici un website nu este imun la atacuri, webmasterii sunt obligati sa-si ia orice masura de protectie, de preferat cele de tip layer. O optiune viabila pentru site-urile ce sunt gazduite pe o platforma Linux/Apache este folosirea fisierului .htaccess. O sa incerc in continuare sa va invat cum sa folositi fisierul .htaccess pentru a bloca accesul la portiunea de CMS a site-ului vostru, de exemplu la folderul /wp-admin daca aveti un blog pe Wordpress.

In primul rand, folosirea acestui fisier o faceti pe cont propriu, este foarte puternic si daca nu ati mai auzit niciodata de acest fisier, ar fi bine sa nu mai cititi mai departe.

O sa va arat cum sa blocati toate adresele IP in afara acelora pe care va decideti sa le puneti in lista de "approved". Asta inseamna ca ar trebui sa va ganditi inainte la ce computere dati acces. Daca un computer va incerca sa acceseze CMS-ul si IP-ul lor nu este in acea lista, vor fi blocati si li se va arata mesajul “Error 403 Forbidden”.

Acum ne putem apuca de treaba. Cel mai usor este sa editati un fisier text cu Notepad++ sau cu un editor de text standard. In fisierul nou creat o sa adaugam urmatorul corp:

# use this to block access to the site administration section
# IMPORTANT - place in the directory that contains your admin information
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Example Access Control”
AuthType Basic

order deny,allow
deny from all
allow from ENTER YOUR COMPUTER’S IP ADDRESS HERE
 allow from SECOND APPROVED IP ADDRESS HERE


Salvati fisierul cu numele .htaccess fara extensie. Uploadati fisierul in directorul de pe serverul web ce contine chestiile legate de Admin. In Wordpress, directorul ar fi /wp-admin, de exemplu.

IMPORTANT: Nu puneti fisierul in root pentru ca o sa fiti singurul computer ce va putea accesa acel website.

Testarea o puteti face foarte simplu, va duceti la un alt calculator (bineinteles unul care nu este in lista de "approved") si incercati sa intrati pe partea de admin a site-ului respectiv. Daca primiti eroarea de mai sus, inseamna ca fisierul .htaccess isi face treaba.
Publicat de la
Etichete: , , , , ,

Niciun comentariu:

Trimiteți un comentariu

Abonați-vă la: Postare comentarii (Atom)