Toamna trecută am avut ocazia să particip la o prezentare a domnului Ribo Bruno, CEO la Arcelor Mittal. Curiozitatea mea de moment a fost să aflu care este problema sau taskul cu gradul cel mai înalt de dificultate cu care se confruntă într-o companie ce are un număr atât de mare de angajați.
Răspunsul dânsului, total diferit de ce îmi puteam eu imagina, a fost că cel mai mult îi este teamă să fie sunat în legătură cu un accident grav pe șantier. Ulterior, am încercat să fac o analogie cu mediul online în care lucrez și cea mai apropiată problemă din punctul meu de vedere ar fi o breșă în securitatea serverului.
Probabil mulți dintre voi, cei care plătesc un serviciu de hosting folosesc serverul atât pentru hostarea site-ului cât și ca mediu de dezvoltare sau experimentare.
Sunt nenumărate modalitățile de a pune în pericol securitatea unui server și cel mai probabil nu vom putea ține piept unui hacker/cracker foarte experimentat, dar cel puțin îi vom îngreuna „sarcina” prin câteva metode simple:
- Evident, cea mai importantă masură ce trebuie luată este folosirea unei parole mai puternice, care să nu se afle în top 25 cele mai slabe parole sau în orice altă listă de parole online,
- În cazul în care folosiți serverul ca mediu de dezvoltare vreți și ar fi de preferat ca proiectele să nu fie indexate în motoarele de căutare, adică pe tava hackerilor. Pentru blocarea indexării cele mai bune metode sunt:
- Adăugarea în folderul respectiv al unui fișier numit robots.txt care să conțină următoarele:
User-agent: *
Disallow: / - Adăugarea în header a următoarei linii de cod:
<meta name=”robots” content=”noindex, nofollow” />
- În cazul în care folosiți WordPress, trebuie doar bifată din Settings -> Reading opțiunea Search Engine Visibility
- Adăugarea în folderul respectiv al unui fișier numit robots.txt care să conțină următoarele:
- Nu setați permisiuni depline (777) asupra fișierelor,
- Nu păstrați publice backup-uri sau orice alte fișiere cu informații ce ar putea compromite baza de date
- Folosiți o semnătură proprie la începutul fișierelor astfel încât în timp sau în cazul în care accesează altcineva fișierele respective, să le fie cunoscută sursa.
Câteva măsuri specifice WordPress:
- Cele mai vulnerabile fișiere sunt cele din pluginuri și teme, prin urmare nu încărcați fișiere din surse care nu sunt de încredere,
- NU încărcați pluginuri care nu au fost actualizate recent și nu sunt 100% compatibile cu versiunea voastră de WordPress, desemenea trebuie sa mențineti atât WordPress-ul cât și pluginurile actualizate,
- Ștergeți orice plugin sau temă care nu sunt active și în același timp recomand pluginul celor de la Sucuri, care oferă informații importante despre modificările aduse fișierelor de pe server,
- În cazul în care persoane fără experiență au drepturi de administrator în dashboard, se poate bloca dreptul de editare al fișierelor prin adăugarea in wp-config.php a următoarei linii:
define( ‘DISALLOW_FILE_EDIT’, true);
- Nu uitați să lăsați wp_debug false cât timp nu aveți nevoie de el, poate oferi informații despre vulnerabilitățile site-ului, fie ele din pluginuri, fie din temă.
define(‘WP_DEBUG’, false);
Cea mai importantă măsură de securitate:
- Backup-ul constant la care sperăm cu toții să nu fim nevoiți să apelăm
Puteți să vă administrați singuri serverul, dar în cazul unor probleme serioase de securitate este indicat să contactați providerul de hosting și/sau o echipă specializată în securitate online.