Sécurité du site Web Top 10 des conseils pour améliorer
1 - Mise à jour, mise à jour, mise à jour!
2 - Les mots de passe
Même si votre mot de passe ne sont pas sur cette liste, il y a beaucoup d'idées fausses sur les mots de passe « forts ». Les exigences laxistes sur la plupart des mesureurs de mot de passe font partie du problème. Nos amis à WP Engine ont mis en place des recherches intéressantes que beaucoup démystifie des mythes entourant les mots de passe.
Quand il s'agit de choisir un mot de passe, il y a 3 exigences clés qui doivent toujours être suivies (CLU - Complexe, Long, unique):
- COMPLEXES: Les mots de passe doivent être aléatoires. Ne laissez pas quelqu'un pirater votre compte simplement parce qu'ils pourraient trouver votre date de naissance ou équipe sportive préférée. programmes de craquage de mot de passe peuvent deviner des millions de mots de passe en quelques minutes. Si vous avez de vrais mots dans votre mot de passe, il est pas au hasard. Vous pourriez penser que vous êtes intelligent pour l'utilisation leetspeak (lettres remplacés par des caractères L1K3 TH15), mais même ceux-ci ne sont pas aussi sécurisé comme une chaîne complètement aléatoire de caractères. Les pirates informatiques ont compilé des listes de mots au sérieux impressionnants pour le craquage des mots de passe.
- LONG: Les mots de passe doivent être 12+ caractères. Je sais que certains dans la communauté de la sécurité se moquerait un mot de passe de 12 caractères et insister sur le fait que les mots de passe doivent être plus. Cependant, en ce qui concerne les systèmes de connexion en ligne, tout système qui suit les lignes directrices simples de sécurité devrait limiter le nombre de tentatives de connexion infructueuses. S'il y a une limite sur le nombre de tentatives de connexion infructueuses, un mot de passe de 12 caractères aisément empêcher quiconque de deviner dans quelques tentatives. Cela dit, plus le mot de passe, le meilleur.
- UNIQUE: Ne pas réutiliser les mots de passe! Chaque seul mot de passe que vous avez doit être unique. Cette règle simple limite considérablement l'impact de tout mot de passe compromis. Avoir quelqu'un à trouver votre mot de passe FTP ne doit pas leur permettre de se connecter à votre compte e-mail ou Internet. Contrairement à la croyance populaire, nous ne sommes pas aussi unique que nous croyons être; si vous pouvez générer au hasard le mot de passe, encore mieux.
Oui, ces gestionnaires de mot de passe peuvent présenter des défis et un point faible possible. Cette semaine LastPass a annoncé un compromis. Tous les compromis sont les mêmes que (plus une autre fois).
4 - Accès utilisateur Sensée
5 - Modifier la CMS par défaut des paramètres!
Il est généralement plus facile de modifier ces données par défaut lors de l'installation de votre CMS, mais ils peuvent être changé par la suite.
6 - Sélection Extension
J'aime aussi regarder l'âge de l'extension et le nombre d'installations. Une extension développée par un auteur établi qui a de nombreuses installations est beaucoup plus fiable que celui qui a 100 Installe et a été libéré par un développeur pour la première fois. Non seulement est le développeur expérimenté d'avoir beaucoup plus probablement une bonne idée sur les meilleures pratiques de sécurité, mais ils sont beaucoup moins susceptibles de nuire à leur réputation en insérant le code malveillant dans leur extension. Plus important encore, plus la base d'utilisateurs, plus les attaquants d'incitation doivent investir dans essayer de le casser.
7 - Les sauvegardes
8 - Serveur de fichiers de configuration
Voici quelques règles que je vous recommande la recherche et ajoutez votre serveur web particulier:
Il y a beaucoup plus de règles et d'options que vous pouvez regarder dans votre fichier de configuration du serveur Web. Vous pouvez rechercher le nom de votre CMS, votre serveur web et la « sécurité », mais assurez-vous de confirmer vos résultats sont légitimes avant d'appliquer quoi que ce soit. Certaines personnes affichent une mauvaise information en ligne avec une intention malveillante.
9 - Installer SSL
10 - autorisations de fichiers
Les autorisations de fichier définissent qui peut faire quoi dans un fichier.
Chaque fichier dispose de 3 autorisations disponibles et chaque autorisation est représentée par un numéro:
- « Lire « (4): Voir le contenu du fichier.
- « « Write (2): Modifier le contenu du fichier.
- « Exécuter « (1): Exécutez le fichier de programme ou d'un script.
Si vous souhaitez autoriser plusieurs autorisations il vous suffit d'ajouter les chiffres ensemble. par exemple. pour permettre la lecture (4) et d'écriture (2) vous définissez l'autorisation de l'utilisateur à 6. Si vous souhaitez autoriser un utilisateur à lire (4), write (2) et d'exécution (1), vous définissez l'autorisation de l'utilisateur à 7.
Il y a aussi 3 types d'utilisateurs:
- Propriétaire - Habituellement, le créateur du fichier, mais cela peut être changé. Un seul utilisateur peut être le propriétaire.
- Groupe - Chaque fichier est associé à un groupe, et tout utilisateur qui fait partie de ce groupe va obtenir ces autorisations.
- Public - Tout le monde.
Donc, si vous voulez que le propriétaire d'avoir lu - accès en écriture, le groupe d'avoir accès uniquement lire et public n'a pas accès, les paramètres des autorisations du fichier doit être:
Lorsque vous affichez les autorisations de fichier ce sera affiché comme 640.
Les dossiers ont également la même structure d'autorisations; la seule différence étant que le drapeau « Execute » vous permet de faire le répertoire de votre répertoire de travail (si vous voulez habituellement sur).
La plupart des CMS ont toutes les installe correctement les permissions configurées par défaut, alors pourquoi ai-je passé tellement de temps pour expliquer le fonctionnement des permissions? Lors de la recherche de solutions aux erreurs d'autorisations, sur tout le web, vous trouverez des gens que vous conseiller de changer les permissions de fichiers à 666 ou autorisations dossier à 777. Ce conseil sera généralement corriger les erreurs d'autorisations, mais il est terrible des conseils du point de vue de la sécurité. Si vous définissez une autorisation de fichier à 666 ou autorisation de dossier 777 que vous venez de permis * quelqu'un * d'insérer du code malveillant ou supprimer vos fichiers!
Conclusion
A propos de Keir Desailly
Merci pour ce Keir sera certainement référence à avec mes clients
Vous êtes très mal informés sur la façon dont fonctionne SSL. Vous avez raison de la charge supplémentaire qu'il place sur le serveur mais le reste est incorrect. Certaines personnes affirment que SSL EV sont de escroqueries, mais c'est en raison du coût supplémentaire pour aucune sécurité supplémentaire. Dans le cas d'un véhicule électrique l'assurance est beaucoup plus élevé. Vous payez pour une police d'assurance.
Le problème est vraiment l'utilisateur final qui ignore l'avertissement que leur connexion est ou pourrait être précaire. Ce n'est pas la prémisse que SSL ne fonctionne pas.
Oui, je suis d'accord, le conteneur est une meilleure façon de le décrire. « Hébergement illimité » est aussi une bête noire de la mienne, je préfère de beaucoup les hôtes qui définissent clairement les limites des ressources. Non seulement vous savez exactement ce que vous achetez, mais ils ont aussi tendance à mieux performer.
Je ne pouvais pas être plus d'accord Todd. Je suis un tel concepteur. Et bien que je suis très qualifié pour gérer l'administration du serveur, je peux au moins ouvrir un compte revendeur, et donner à chacun leur propre compte juridique. Non seulement que des récipients séparés, mais il les rend également légalement responsable de leur contenu, et pas moi!
Excellent article Keir!
Très belle astuce, merci.
Demandez à votre hôte ce qu'ils font pour vous protéger.
Les gens aiment ajouter des plugins de sécurité (qui peuvent avoir des problèmes de sécurité) et une réécriture wp-login.php à autre chose. Ce qui signifie qu'ils ne pouvaient pas être protégés plus par là hôtes qui était déjà sécurisaient que l'on (aussi bien que possible).
Chaque application qui accepte l'entrée d'utilisateur et dispose d'une base de données back-end devrait avoir un autre utilisateur avec le moins de privilèges possibles et ne doit pas être votre utilisateur root.