Cómo proteger mi sitio web PHP de hackers

1. No uses funciones vulnerables

PHP llama a las funciones de devolución de llamada cada vez que ocurre un determinado evento. Por ejemplo, al analizar XML, PHP puede llamar a una función cada vez que toca una etiqueta, y puede definir su propia función de usuario con el propósito de que PHP la llame y luego pasar el nombre de la función a PHP. Las funciones de devolución de llamada invariablemente tienen requisitos estrictos sobre el número de parámetros que pueden tomar, ya que muy a menudo PHP querrá pasar variables a su función de devolución de llamada para que las use.

2. La divulgación de información es peligrosa.

Por ejemplo, si un atacante puede ver phpinfo () definitivamente es una vulnerabilidad.
Su sitio web puede ser vulnerable si alguno de los datos devueltos es visible para un atacante.

phpinfo
posix_mkfifo
posix_getlogin
posix_ttyname
getenv
get_current_user
proc_get_status
get_cfg_var
disk_free_space
disk_total_space
espacio libre en disco
getcwd
getlastmo
getmygid
getmyinode
getmypid
getmyuid

3. Bloquear usuarios de Tor:

Los atacantes usan el anonimato como guardia para atacar sin miedo su sitio web. Esta es una lista de retransmisores de salida tor proporcionada por TorProject https://check.torproject.org/cgi…

Related Content

Aunque los PDF protegidos con contraseña se pueden descifrar fácilmente o la contraseña se puede adivinar fácilmente, ¿por qué esta es la única tecnología disponible para enviar extractos bancarios y de tarjetas de crédito?

¿Es Spotify un riesgo de seguridad?

¿Dónde están los puntos débiles en la infraestructura de Internet existente que se verían comprometidos si se rompen ECC y RSA?

¿Cuál es la diferencia entre las certificaciones CSA + y CompTIA Security +?

¿Cómo funciona la autenticación kerberos?

Si su sitio web está en desarrollo, le sugiero que incorpore Security In siguiendo estos principios de diseño:
1. Favorezca la simplicidad: Asegurar su sitio sería simple si su implementación es simple. ¿Puede evitar agregar muchas funciones marginales, agradables y extensiones asumidas?
2. Confíe en la renuencia: cuando su sitio web esté interactuando con un sistema externo, DB, aplicación de terceros, etc., valide todas las entradas y asegure el canal de comunicación. Valide todas las suposiciones sobre sus interacciones utilizando comprobaciones explícitas
3. Defiende en profundidad: agregar varias capas de defensa es más seguro que solo una. Considérelo como la siguiente situación; un condón puede proteger contra el embarazo no deseado en un 60% y un IUCD puede ser del 80%, pero juntos pueden proteger el 92%.
4. Monitoree y rastree todo (alerta con moderación). Un gran habilitador para la seguridad es la capacidad de su sistema de monitorear y rastrear todas las interacciones. Esto ayudará a un análisis posterior al evento de cualquier exposición a vulnerabilidades y puede construir su defensa.
Para obtener más información sobre el diseño de seguridad, lea GaryMcGraw.

************************************************** *************
Si ya está desarrollado, podemos aplicar algunos parches, aunque esta es una forma menos efectiva de asegurar su sitio. Puede considerar si puede realizar una refactorización de diseño basada en los principios anteriores.
El parche incluye
1. Verifique su código en busca de vulnerabilidades utilizando una herramienta de escaneo de seguridad como Fortify, Coverity, etc. Aquí recuerda defender en profundidad.
2. Analice su aplicación en busca de vulnerabilidades utilizando alguna herramienta como AppScan y solucione los problemas de alta gravedad.

Pilar Torres

Intente no cometer estos errores:

http://www.finalwebsites.com/cre

Siga estas prácticas :

http://www.sitepoint.com/8-pract

Y aquí está la hoja de trucos :

https://www.owasp.org/index.php/

Aaron Shbeeb

La mayoría de las páginas PHP son vulnerables a XSS, vulnerabilidad de inclusión de archivos, puede solucionarlas de manera adecuada. No hay una forma específica de proteger su sitio web. Quizás una buena codificación pueda ayudar

Bishwabikash Das

Limite los servicios disponibles en el servidor web y escriba el código del lado del servidor para estar seguro contra ataques de seguridad comunes (como se enumera en el top 10 de OWASP).

Bishwabikash Das

El siguiente video le brinda algunos consejos realmente buenos sobre cómo proteger su sitio web

Bishwabikash Das

More Interesting

¿Ninguna función hash devuelve el mismo valor para la misma entrada?

¿Debo confiar en Windows Defender como mi antivirus principal?

¿Qué es una contraseña maestra y para qué se utiliza?

¿Qué es una contraseña de root?

¿Qué tipo de problemas de seguridad tiene Facebook?

Si lo desea, ¿es probable el trabajo remoto en seguridad cibernética / aseguramiento de la información?

¿Cuál es la diferencia entre virus informático y gusano informático?

¿Es un firewall un antivirus? Si no, entonces ¿qué es?

¿Cómo se cuantifican los costos de las infracciones de seguridad electrónica?

¿Hay alguna diferencia entre el cifrado y la protección con contraseña?

¿Necesita un software antivirus para Mac OS?

En términos de seguridad, ¿qué significa para usted 'autenticación fuerte'? ¿Ha cambiado su eficacia, significado o percepción a lo largo de los años?

¿Alguna vez ha encontrado un sistema informático con demasiada seguridad?

¿Es NTRO un comando cibernético creíble de la India?

¿Cuál es el proceso de piratería?