Hur skyddar man sin hemsida?
 

Tjo!

En ny forumare (hoppas jag). Tänkte ställa en fråga som jag är väldigt nyfiken över. Jag är nybörjar kodare som sagt. Jag kodar hemsidor och har dem uppe på Loopias webbhoteller. Men jag har alltid undrat, hur blir ens hemsida attackerad? Hur skyddar man sig bäst genom sådant?

Problemet är jag vet inte vilka metoder det är som används när hackare försöker förstöra ens hemsida, så jag kan heller inte tänka ut vad det är som är problemet. Ni får hemskt gärna skriva hur mkt ni vill som svar, jag tycker detta är sjukt intressant!

Kanske ni har tips på vad det är jag ska kolla på när jag kodar, så att jag ej blir attackerad?

Ännu en fråga jag tänker över, rent generellt på nätet så sägs det vara väldigt lätt att bli hackad om man användar trådlöst (trots om den är säker). Om jag använder kabel till mitt trådlös, är det samma sak? Hjälper det om jag krypteringsskyddar min webbläsare, vet dock ej hur använder Safari. Men ni verkar vara så duktiga i detta forum, så jag hoppas att ett par snälla människor kan ge mig råd för livet =)

Jag undrar det samma vart själv hackad nu i veckan bytte till svårare lösen :confused:

De två vanligaste metoderna är att ett virus snappat upp ditt FTP-lösenord och att sajten har ett script med säkerhetshål. Med de här tipsen kan man undvika de flesta attackerna i alla fall:
- Ha antivirusprogram på alla datorer du använder (och se till att det är uppdaterat)
- Använd inte okrypterade trådlösa nätverk
- Använd välkända script och håll dem uppdaterade, samma för plugins
- Om du programmerat sajten själv, se över säkerheten och se vad du kan förbättra.

Om du blir hackad, undersök hur intrånget skedde. Be webbhotellet om hjälp och loggar om det behövs. Att enbart byta lösenord brukar inte räcka, hackern kanske inte behövde lösenord alls eller så använde han en metod som gör att han kommer åt även det nya lösenordet.

Det finns förstås mängder med varianter på vad man kan råka ut för. SQL-injektion är nog bland det vanligaste eftersom det är ganska lätt att utföra men också att skydda sig mot, börja där. http://sv.wikipedia.org/wiki/SQL-injektion

Solaris (nytt nick?) här på WN har skapat en tjänst som kan vara intressant för dig. Jag har själv inte testat, mer skummat igenom tråden och hemsidan, imponerande projekt dock.

http://www.wn.se/t1045096.html

Skydda dig mot XSS och SQL injections så är själva scriptet säkert. Sitter du på ett webbhotell så ska de vara säkra mot andra typer av intrång. Men en duktig hacker tar vad han vill oavsett säkerhet...

Ett bra tänkesätt gällande säkerhet är att aldrig lita på användaren. Lita inte på att användaren skriver in korrekta värden eller använder sidan på ett korrekt sätt. Tänk på alla möjliga sätt som kan gå fel och ta hand om dessa.

För att skydda dina webbapplikationer mot en mycket stor del av nätattacker:
-Filtrera post/get-data (escape, parameterized queries etc.)
-Starka och olika lösenord (mail, ssh, ftp etc.)
-Uppdatera och patcha (apache, WP, phpmyadmin etc.)

Det låter jätte intressant. Jag minns vad SQL-injektionen var. Men det andra ni nämner, jag förstår inte direkt helt ärligt? Ni beskriver det i lite för hög nivå för mig att hänga med :P

Jag har kodat en hemsida med vanligt HTML och har några små funktioner som formulär osv i PHP, så att hela sidan blev PHP till sist. Men jag förstår inte, vad är luckor i skriptet? Jag har ju ingen inloggning på min hemsida, vad är det dem kollar på för att ta sig in? Jag förstår inte är det liksom luckor på vanlig html, luckor till vad :S?

Sen angående det med Loopias lösenord, jag brukar ej skriva om den. den är sparad i mitt ftp-server, så då kan ej hackare ta reda på lösenordet visst?

Hehe, tack för omnämnandet. :)

On Topic.

Generellt sätt på statiska HTML-sidor så är det rätt svårt att göra rena intrång. Det finns begränsat med funktionalitet på sidorna, och därmed också begränsade angreppsmetoder. Ifall du har ett uppdaterat AV, vettigt lösenord på din FTP och en ren HTML-sida är det väldigt svårt att som angripare göra något vettigt utav den.

Skulle väl eventuellt vara ifall angriparen rotar servern och får tillgång till alla hemsidor som hostas på den, eller att en angripare kommer åt DNS servrarna och pekar om dem till sina egna domäner.

Däremot när vi kommer till lite mer dynamiska sidor, och börjar blanda in databaser, då får man passa sig. Det finns en hel del att läsa om bland annat XSS, CSRF och SQL-injections. Spontana tips är väl följande.

Se till att köra htmlentities på alla din GET-variabler.
Använd gärna PDO när du blandar in SQL (Då slipper du dessutom tjafs som att escapa och ta bort slashtecken i variablerna).
Kontrollera så att rätt indata matas in, kan kännas överflödigt. Men ett ID ska bara ha ett ID och inte något annat, även om du filtrerar ut eventuella XSS-attacker genom htmlentities så kan man fortfarande mata in data genom HEX-värden.
Se till att när du inkluderar saker så ska du försäkra dig om att de saker du inkluderar enbart bör ligga lokalt på server. Läs närmare på om RFI (Remote File Inclusion).

Sen kan man fördjupa sig otroligt mycket inom detta område, man kan gå extremt långt i ens säkerhet.

P.S - Salta alla lösenorden som sparas i databasen (gärna unika salter)

Tackar Solaris :>! Hänger helt med, känns mycket lättare för mig nu att förstå. Men lite off-topic nu så är väl statiska sidor, inte så inne längre? Jag kollade din hemsida, med säkerhetslösningen, den var skit bra!

Har du ett förslag på en annan sida som erbjuder säker cms? Om det finns alltså en guide som visar hur man kodar säker CMS, så kan jag ta tiden och lära mig oxå.

Jag kan rekommendera att du tittar på något ramverk som t.ex Codeigniter. Detta har flera inbyggda säkerhetsfunktioner som är bra att ha.. som t.ex kan man ställa in det att söka efter XSS-attacker och använder man databas så har Codeigniter ett smidigt bibliotek med s.k Active Record som förebygger SQL injections =)

Statiska sidor kan fungera utmärkt - det beror på vad det är för syfte och vem som ska administrera sidan. Kanske är det en reklam-site som inte kommer uppdateras eller bara en gång per år så kan ett större system med ett CMS vara overkill.

Wordpress är ett populärt system för hemsidor numera.. men om man slarvar och inte uppdaterar så får man också tänka på att det är ett populärt hackermål när det hittas nya buggar som kan utnyttjas.

Om man är / vill bli utvecklare så är det nog en bra idé att lära sig säkerhet och kod innan man börjar använda Codeigniter eller liknande, annars är risken stor att man missar sådant när man väl frihandskodar.

Okej, riktigt intressant! Så rent generellt om jag vill nu börja lära mig skapa dynamiska hemsidor med CMS, vilken sida ska jag gå in på? Jag tycker väldigt mycket om era tips!

Beror ju på vilket CMS, Wordpress har ju en svensk sida med info och support: http://wp-support.se/

För Joomla är nog www.joomla.org bästa resursen.

Hur fungerar Wordpress? Sorry om jag låter lite dum. Men kan jag alltså koda min hemsida med egen design på t.ex ASP eller PHP med alla funktionerna jag vill, sen sätta in Wordpress som cms? Kostar det något, eller är det bara "begräsnade funktioner" jag måste använda som wordpress har. T.ex röstningsfunktion osv. För annars måste jag ju intigrera dem med systemet.

Det mesta är inbyggt i Wordpress, du kan givetvis skapa egna sidor i PHP/ASP men det mesta finns i Wordpress själv. Själva Wordpress är gratis, vissa tillägg kan kosta pengar.

Läs gärna på om Wordpress, det är extremt väldokumenterat om du söker på Wordpress på Google, eller gå till http://wordpress.org/

Wordpress är väldigt flexibelt. Du kan använda det över hela din sajt, bara på vissa delar, endast som administrationsverktyg etc. Du kan använda helt egen design eller använda någon de tusentals templates som redan finns (vissa gratis, vissa kostar). Du kan använda de plugins som finns, koda egna funktioner osv. Endast fantasin och dina egna kunskaper sätter gränserna kort och gott. Sedan är det långt ifrån alltid som Wordpress är det bästa alternativet, det beror helt på vad det är för något man bygger.

Jaha okej... Det låter väldigt intressant ska kolla upp det.. Men när man kodar hemsidor åt företag och väljer Wordpress, är det bara då designen som man själv skapar. För resten verkar vem som helst kunna skapa, det känns inte rätt så schyst då? Jag menar mot företaget, om dem ska köpa en wordpress sida kan dem ju lika gärna lägga några timmar själv om allt är gratis templates osv?

Edit: Jag tänker också när ska man använda som bäst statiska sidor och när använder man som bäst wordpress? eller är det bättre att själv göra ett cms-system åt sina sidor?

Ska man bara ha en/ett par sidor med lite info och kontaktuppgifter som ändras extremt sällan kan man ju lika gärna slänga ihop det med vanlig statisk HTML. Dock är det så pass enkelt att installera ett CMS som Joomla eller Wordpress att man lika gärna kan köra på det, enligt mig. En vacker dag vill du/företaget/vem som nu har sidan ha t.ex. en blogg, uppdatera lite nyheter osv. Då finns ju allt det färdigt redan.

Gör du en hemsida åt ett företag vill de nog oftast ha ett unikt utseende, alltså inte en färdig mall. Sen kan man ju alltid utgå från någon slags färdig mall och modifiera/anpassa den så att den passar bra åt företaget.

Tack Linus :D

Jag installerar nu WP, den innehåller en massa filer :/

Men linus min portfolio har jag nu själv kodat statiskt. Ska jag göra om den till WP? Den är 70% klar nästan.

Ser du inte någon större nytta av det så tycker jag inte du ska göra det. Tycker själv det ser lite B ut när webbyråer och designers använder sig utav WP till egna sajter. Däremot är det bra att ha med någon WP-sajt i sina referenser.

Använd inte heller krypterade trådlösa nätverk när du logga in med FTP. I alla fall inte i offentliga miljöer.

Använd inte FTP öht. Det finns bättre, krypterade alternativ.

Förstår inte frågeställning. Du vill skydda din hemsidor för att bli hackade?

1) Först och främst måste webbhotellet har gått säkerhet. Det får man väl anta att loopia har med så många år i branschen.

2) Sedan bero på hur din kod ser ut? Ett vanligt sätt att hacka sidor är att använda SQL injektioner. Dvs någon skickar en SQL fråga din URL och på sätt få ut information.

3) Skall du lagra kunddata online, kan de vara smart att tömma online databasen dagligen på info och till offline version.