Zaštita web site-a

Pozdrav web expertima.

Zanimala bi me vaša iskustva i savjeti u cilju kako adekvatno zaštiti manje web stranice na plaćenom stranom hostingu.

Stranice koje bi trebalo zaštititi su radjene wordpressom i jomlom.  Da li su korisni oni sigurnosni plugini, i sto vi još poduzimate da vaša stranica i sadržaj budu čim sigurniji.

Prijatelj je dobio upozorenje od fbi-a jer mu je netko provalio na site i na taj webmail je došlo par tisuća mailova sa podacima o kreditnim karticama koji su ukradeni sa fake itunesa. Server je na linuxu i lociran u americi. 

Znači, kako cim bolje zastiti te manje web site-ove? 

Najefikasnija zaštita dobiva se kada admin zna raditi svoj posao.

Wordpress/Joomla - Dok god su up-to-date, biti će zaštićeni (osim za 0-day exploitove), jedino treba paziti na plugine i teme.

Uglavnom ako koristiš neke popularnije plugine/teme, ne bi smjelo biti problema.

Ono na što treba paziti je ljudska greška, pa bilo to kod pisanja svoga koda ili konfiguriranja nekog paketa.

Ja da sam napadač, prva stvar koju bih napravio je port scan (nmap -p- [IP]), pa recimo ako je FTP port (21) otvoren, provjerio bih dal prihvaća anonymous login.

Nadalje, treba se paziti SQL i XSS injectiona.

Uglavnom, da bi dobro zaštitio svoju stranicu, prvo trebaš znati razmišljati kao napadač.

Za manje web stranice, nisu potrebne neke ultra-visoke mjere opreza, kako napadač za napad nekog servera treba imati i interes.