Sådan undgår du at blive hacket

April 8th, 2008 | Tags: , , | 11

Et par Gigahost kunder har i de sidste par dage oplevet at deres sider er blevet hacket, i de fleste tilfælde af “Muslem Hacker” eller “Saudi Arabian hacker”. På grund af visse tegninger er danske websider mere udsatte i disse dage. Her er et par sikkerhedstips til din side.

  • Adgangskoder: Husk altid at have ordentlige adgangskoder til dine systemer, og brug aldrig dit brugernavn eller navn som adgangskode til dit webhotel, mail osv. Alternativt kan du bruge password-generatorer som fx denne her.
  • CMS og scripts: Opdater altid dit CMS og scripts til de nyeste versioner, da nye sikkerhedshuller findes (og lappes) regelmæssigt.
  • Slet unødvendige filer: Slet filer og scripts du ikke bruger, specielt installationsfiler fra CMS-installationer, der som regel hedder “install.php” eller “setup.php”.
  • Brug robots.txt: Søgemaskiner indekserer normalt al indhold på din side, men ved at placere en robots.txt fil kan du specificere hvad der skal indekseres, og hvad der ikke skal. Læs hvordan du gør her.
  • Beskyt med .htaccess: Du kan bruge .htaccess til at password-beskytte visse dele af din side, blokere adgang fra visse IP-adresser, blokere for hot-linking af billeder og meget andet. Læs mere her, og en WordPress-specifik .htaccess guide kan findes her.
  • Plugins og tredjepartsprogrammer: Hvis du bruger 3. parts plugins eller scripts til dit CMS, fx WordPress plugins, er det altid en god ide at opdatere til de nyeste versioner. Husk også kun at downloade plugins og scripts fra officielle kilder.
  • Brug antivirus/antispyware: Brug antivirus og antispyware programmer til at beskytte din PC, da dine adgangskoder nemt kan tilgås via spyware programmer. Et godt og gratis antivirus program er AVG, og mod spyware, og ligeledes gratis, anbefaler vi Ad-Aware.
  • Backup: Til sidst skal du altid huske at tage backup af dine filer og database – specielt når du opdaterer dit CMS eller dine scripts.

11 kommentarer

  1. Anonymous writes:
    April 8th, 2008 at 23:46

    Den med robots.txt er et tveægget svær, hvis man bruger den til at beskytte personlige oplysninger. Når du forbyder specifikke sider for søgemaskinerne, giver du samtidig hackere en detaljeret liste, over hvilke sider der kan være interessante.

    Til at forhindre dublicate content og andet seo-mæssigt, er den dog hel fin.

  2. Anonymous writes:
    April 11th, 2008 at 11:06

    Jeg bruger selv både “Ad-Aware” og “Spybot Search & Destroy” mod spy-ware – De suplerer hinanden rigtig godt – hvad den ene ikke finder “napper” den anden og visa versa…… God kamp ! ! !

  3. Jesse_hz writes:
    April 15th, 2008 at 05:29

    Eller brug et styresystem, der er mindre udset af crackere som f.eks. Ubuntu, OS X osv.

    En anden god password generator: https://www.grc.com/passwords.htm

    PS: ordenelige => ordentlige
    PPS: Og så mangler I stadig at fastsætte baggrundsfarven for jeres blog.

  4. gigahost writes:
    April 15th, 2008 at 13:43

    3: Tak for meldingen, fejlen er nu rettet :)

  5. Niels Lynggaard writes:
    April 15th, 2008 at 14:08

    #1: korrekt at robots.txt er et tveægget sværd, men en nem måde at undgå at give hackere en liste over interessante mapper kan være f.eks at forbyde mappen “temp” og lade denne indholde de “hemmelige” mapper.. Dermed har man ikke givet en liste og den potentielle hacker skal være meget god til at gætte at du f.eks prøver at skjule temp/den-hemmelige-mappe..

  6. Bjarne writes:
    April 19th, 2008 at 09:47

    Må jeg i den forbindelse påpege at kontrolpanel passwordet skal anvendes overalt i webhotellet, til kontrolpanellogin, til ftp, til mysql, og det til samtlige domæner man måtte have hostet. Benytter man et cms og mysql ligger ens kontrolpanel password med stor sikkerhed i en flad tekstfil et sted på sitet. HVIS ens site bliver hacket, er der hurtig fuld adgang til ALT… Jeg KUNNE ønske mig muligheden for at have separate passwords til kontolpanel, ftp og mysql. Bjarne

  7. gigahost writes:
    April 19th, 2008 at 18:39

    Du har ret i at sikkerheden øges ved at have en særlig kode til MySQL. Funktionaliteten er også planlagt. Man kan evt. skrive til vores support og bede om at få besked når det er klart.

    Det understreges at ens site først skal blive hacket førend at en hacker kan drage nytte af at koden ligger i tekstfilen – men generelt er det bedre at have forskellige koder til forskellige ting.

  8. Jesse_hz writes:
    April 21st, 2008 at 04:15

    Til det, som Bjarne siger, så kunne man ønske et CMS, der automatisk forvansker ens password, hvis det opdager at det ligger som klartekst. Det sætter måske ikke en stopper for crackere/digitale-indbrudstyve, men det sænker dem i hvert fald.

    Og så til dem, der selv skriver deres PHP kode:
    Husk aldrig at gemme passwords som klartekst i jeres database tabeller, skulle I nogensinde blive cracket vil det sende et klart tegn om at I ikke har respekt for hverken jeres eget data eller jeres brugeres privatliv. Husk også noget tilfældigt (random) salt til jeres passwords.

  9. Rasmus writes:
    May 10th, 2008 at 00:29

    “Beskyt med .htaccess: Du kan bruge .htaccess til at password-beskytte visse dele af din side”…

    Hvordan får man det til at lykkes når php kører som cgi??

  10. Justin writes:
    May 31st, 2008 at 12:11

    Tjah det med mysql og password kan vel egentligt løses ved at køre følgende kommando:

    GRANT ALL PRIVILEGES ON mindatabase.* TO ‘snedignavn’@'localhost’ IDENTIFIED BY ‘snedigtpass’;

    Eller har man ikke adgang til GRANT kommandoen?

  11. gigahost writes:
    June 2nd, 2008 at 14:57

    Man kan godt ændre koden til databaser med fx

    SET PASSWORD FOR ‘bruger’@'%’ = PASSWORD(‘snedigkode’);

    men hvis man senere ændrer sin kode i kontrolcenteret, vil MySQL-koden også blive ændret.

Tilføj kommentar