在接下来的几周内,我将从localhost(WAMP)获取我的网站并将其放在a new server上。这将是我的第一台服务器上的第一个网站,所以基本上......我是一个菜鸟!
对于任何独立的网络开发人员/小型企业来说,这一定是一个重要的时刻,所以我很想知道一些应该立即解决的经验,错误和系统默认安全漏洞......
我正在使用php,mysql,cpanel和WHM,并寻找“关闭PHP中的错误报告”等提示
答案 0 :(得分:1)
首先,如果您担心安全性,那么您应该使用LAMP。只要Linux平台使用AppArmor或SELinux(分别是Ubuntu和fedora),那么你比任何版本的Windows都 更好。我从为两个平台开发漏洞利用代码的第一手经验中了解到这一点。
在锁定系统之前,请使用Wapiti测试代码中的漏洞。 Acunetix也很好,但价格昂贵。这种类型的测试,尤其是sql注入测试必须在php.ini
中设置dispaly_errors=On
PHP配置可能会出现很多问题,使您的系统安全性降低。您应该运行PHPSecInfo并删除所有红色。 dispaly_errors=Off
是你想要的,phpsecinfo测试它。
您还应该使用像Mod_secuirty这样的Web应用程序防火墙。
答案 1 :(得分:1)
这实际上是一项艰巨的任务,但非常值得体验。这里只有一两个建议......
网站安全还意味着大量参与管理有时稀缺的资源。同样重要的是遵守主机的任何限制,并猜测您的网站用户可以通过所有可能的方式推动您超过这些限制,让您负责支付高额费用。 IE一遍又一遍地下载或上传大文件,垃圾邮件电子邮件列表,反复请求使用过多数据库连接和查询的页面等。在开始之前从主机获取写入限制和费用,并准备好响应计划。真的,这部分就像购买手机服务一样。
很多还取决于您在网站上的功能。文件上传?论坛?登录?电子邮件?等等?例如 - 如果您正在运行文件共享站点:以及上传/下载速率限制,我建议您在允许上传任何文件之前先检查可用磁盘空间,或者定期进行审核以便您准备存档或删除旧的和未使用的文件。这是一个快速检查,以确保您在未来一年内不会感到意外,因为当您突然开始出现磁盘已满错误或被主机收取大笔账单时。
还有一百多个问题需要考虑。收集您网站所有特性和功能的完整概述 - 逐项列表。 Google每个人都可以获得更多关于处理安全性的想法。您的主机还应该发布自己的安全注意事项,并有一个方便的手册来操作他们的所有服务。如果他们不这样做,我个人不会对他们感到满意。