Dicas de segurança em hospedagem de sites



Dicas de segurança em hospedagem de sites

Mensagempor Patty » Sáb Mai 22, 2010 3:47 am

O roubo das senhas é uma das principais formas de invasão. Crackers utilizam principalmente 4 ferramentas para conseguir a senha de determinada conta: Keyloggers, Spywares, Brute Force e Code Injection.

Contra os dois primeiros é importante a utilização de um bom anti-vírus ou um sistema operacional menos susceptível à vírus (como o MacOS ou o linux) nos computadores que serão utilizados para gerenciar as contas.

Contra Brute Force, bons servidores devem possuir regras de firewall que impedem a maioria desses ataques, mas sempre é importante a utilização de senhas fortes. É indicada a utilização de senhas de no mínimo 8 caracteres possuindo letras minúsculas, maiúsculas, números e caracteres especiais. Ex.: TgEr$%52

Contra Code Injections é importante verificar se seus scripts estão sendo rodados sob as últimas versões de seus respectivos interpretadores (ou compiladores) e se o banco de dados utilizado também é o mais atualizado. Utilizar sempre a versão mais nova dos serviços impede que suas contas estejam vulneráveis à maioria dos exploits mais conhecidos.

Falando em php, listaremos aqui alguns dos principais problemas de segurança que podem ser configurados no php.ini da conta de cada cliente. Por padrão eles já vem desabilitados em nossos servidores, mas muitos clientes pedem para habilitar para suas contas. Saiba porque isto não é recomendado:

- Má programação com register_globals = On: Quando ligada, a diretiva register_globals criará para seus scripts vários tipos de variáveis, como as variáveis oriundas de formulários HTML. Isso, combinado com o fato de que o PHP não requer inicialização de variáveis, significa que é mais fácil escrever código inseguro.

- Má programação com allow_url_fopen = On: Esta função permite a execução de arquivos remotos diretamente no servidor. register_glolas = On + allow_url_fopen = On + uma variável não-inicializada = arquivos maliciosos rodando na sua conta.

- magic_quotes = On: Esse é o principal meio de se fazer SQL Injection em uma base de dados. Off sempre.

- Algumas outras funções que não devem ser habilitadas: show_source, system, shell_exec, passthru, exec, popen, proc_open, symlink

Quanto à permissão dos arquivos e pastas, é reomendável que os servidores usem o phpsuexec, que faz com que arquivos com permissões diferentes de 644 e pastas diferentes de 755 não possam ser acessados pelo php.


Crédito: Thiago (Hostdime)

Se vc tem alguma dica sobre segurança, compartilhe com a comunidade. Poste aqui. ;)
Patty
______________________________________________________________
Módulos adicionais e gateways de pagamento Cielo e Rede
para osCommerce e WHMCS

Certificados SSL por apenas R$ 89,00/ano
http://www.cybernetfx.com
Patty

Avatar de usuário
Administrador
Administrador
 
Mensagens: 1155
Data de registro: Ter Mai 04, 2010 1:31 am

Retornar para Segurança

Quem está online

Usuários vendo este fórum: Nenhum membro registrado online e 1 visitante

cron
Shared Web Hosting by HostDime