Hogyan védjem a weboldalamat?

Akár egyedi fejlesztésű a weboldal, akár nyílt forrású CMS rendszer az alapja, bárhol lehet benne biztonsági rés, amit a leleményes hackerek kihasználnak.

A szerveren több biztonsági réteg is ügyel arra, hogy egy megtört weboldal ne tudjon kárt tenni se a rendszerben, se más weboldalakban, az oldal (alkalmazás) általános védelmére azonban nagyon korlátozottak a lehetőségek.

Ezen a szinten már a fejlesztőnek, vagy a CMS rendszert telepítőnek kell minél jobban megnehezítenie a támadó dolgát.

Egy biztonsági rést kihasználó hacker valószínűleg malware-t vagy bot-okat próbál telepíteni a szerverre. Ehhez első lépésként általában egy PHP alapú shellt telepít fel (pl. C99shell), aminek segítségével feltérképezheti a könyvtárstruktúrát, belenézhet a file-okba stb. Ez után már könnyedén telepíti botokat, vagy fertőzi meg az oldalt malware-el.


Az alábbi védelmek általános módszerek, melyek nem a betörést, hanem a kártevést gátolják vagy nehezítik meg.

  • Naprakész kód

    Természetesen mindig tartsuk naprakészen a használt keretrendszert (vagy CMS rendszert).

  • Malware védelem

    A tárhelyen passzív malware védelmet alkalmazunk. Lényege, hogy a PHP csak azokra a helyekre tud írni, ahova szükséges (pl. upload könyvtár, temp, stb.). Így a weboldal nem tudja saját magát felülírni.

    Karbantartás, telepítés idejére a védelem felfüggeszhető:

    Weboldal frissítése, karbantartása

    Ez a védelem nem foltozza be a biztonsági rést, de megvédi a "rendszerfájlokat"a felülírástól vagy a fertőzéstől.
  • Kivételek

    Előfordul, hogy bizonyos könyvtárakat adattárolásra használ az oldal, tehát szükséges, hogy ezekbe írni tudjon akkor is, ha a védelem aktív.

    Ennek semmi akadálya: az adott könyvtárakat kivételként fel kell sorolni.

    A malware védelem finomhangolása

  • Írható könyvtárak védelme

    Tegyük fel, hogy az "upload" könyvtárat felsoroltuk a kivételek, azaz az Írható mappák listájában. Ezt már nehezebb lesz a támadónak megtalálnia, de idővel sikerülni fog. Az oldalban ugyan már nem fog tudni kárt tenni, de a bot-okat, vagy a phishing oldalakat még mindig fel fogja tudni ide tölteni, majd futtatni.

    A feltöltést nem fogjuk tudni rendszer szinten meggátolni (hiszen az upload könyvtár erre való), de alkalmazás-szinten ellenőrizhetjük a feltöltött file-okat. Ha erre nincs lehetőségünk, akkor lép életbe a következő védelmi szint:

    A rendszer az összes írható mappában automatikusan letiltja a PHP futtatást. (valójában csak a direkt URL-ként történő meghívást tiltja le, az include-olást nem).

    Írható könyvtárak listája

    A feltöltést ezzel nem gátoltuk meg, de már lefuttatni nem fogja tudni a támadó a kártékony kódot.


Ha ezeket az elővigyázatosságokat megtesszük egy új weboldal telepítésekor, a jövőben sokkal kevesebb sikeres támadásra számíthatunk.

 

 

Posted in: Tudnivalók