SSL offre ai visitatori del tuo sito Web la sicurezza di comunicare in modo sicuro tramite una sessione crittografata. Per le aziende che desiderano condurre un e-commerce sicuro, come la ricezione di numeri di carta di credito o altre informazioni sensibili online, SSL è essenziale.
Affinché SSL funzioni, è essenziale un certificato SSL firmato e valido. I certificati sono un modo standard per legare una chiave pubblica a un nome. La crittografia a chiave pubblica è una tattica che utilizza una coppia di chiavi asimmetriche per la crittografia e la decrittografia. Ogni coppia di chiavi è composta da una chiave pubblica e una chiave privata. La chiave pubblica è resa pubblica distribuendola ampiamente. La chiave privata non viene mai distribuita; è sempre tenuto segreto. I dati crittografati con la chiave pubblica possono essere decodificati solo con la chiave privata. Al contrario, i dati crittografati con la chiave privata possono essere decifrati solo con la chiave pubblica. Questa asimmetria rende la crittografia a chiave pubblica così utile.
8 modi per impedire che il tuo sito web venga hackerato [Sicurezza del sito web]
È possibile generare un certificato autofirmato e utilizzarlo per un po ';di tempo fino a quando il certificato :firmato: da un';autorità esterna affidabile
Autorità di certificazione VeriSign
o
Sigilli sito GeoTrust
E sarà pronto.
Per abilitare SSL per il tuo sito web con certificato autofirmato:
1. Fare clic sulla scheda Sito;
2. Selezionare Impostazioni sito Web. Il tuo sito Web Impostazioni generali appaiono sullo schermo;
3. Fare clic sulla scheda Secure Website. Il riepilogo del sito Web sicuro appare sullo schermo;
4. Fare clic sul pulsante Genera una richiesta. Il modulo di richiesta del certificato appare sullo schermo;
5. Compila il modulo:
1.Seleziona il tuo paese di residenza dal menu a discesa Paese. Se necessario, scorrere l';elenco;
2.Seleziona il tuo stato dal menu a discesa Stato (Stati Uniti o Canada);
3. Oppure scrivi il tuo stato nella casella di testo dello stato (altri paesi);
4. Digitare la propria città o città di residenza nella casella di testo Località;
5. Digitare il nome della propria società nella casella di testo Nome organizzazione;
6. È possibile digitare facoltativamente il proprio ramo aziendale o il proprio nome affiliato nella casella di testo Nome unità organizzativa;
7. Digitare il nome del sito Web nella casella di testo Nome sito;
6. Fare clic sul pulsante Invia. Il riepilogo del sito Web sicuro aggiornato viene visualizzato sullo schermo: ora sono presenti sia la richiesta di certificato che la chiave privata, ma il sito Web sicuro non è disponibile perché il certificato SSL è assente;
Nota: non dimenticare di eseguire il backup della chiave privata: fare clic sul collegamento Dettagli chiave privata SSL (il contenuto della chiave privata verrà visualizzato nella finestra popup) e copiare il contenuto della chiave privata in un file.
7. Fare clic sul pulsante Genera il certificato SSL. In pochi secondi lo schermo viene ricaricato con il riepilogo aggiornato del sito Web sicuro: ora il certificato è installato e il sito Web sicuro è disponibile;
8. Fare clic sul pulsante Abilita SSL.
Per inviare una richiesta di certificato a un';autorità di certificazione esterna (se la richiesta di certificato è già stata generata e la chiave privata salvata, come descritto nei passaggi da 1 a 7 sopra):
1. Fare clic sulla scheda Sito. Le impostazioni generali del sito Web vengono visualizzate sullo schermo;
2. Selezionare la scheda Sito Web protetto. Il riepilogo del sito Web sicuro appare sullo schermo;
3. Fare clic sul collegamento Dettagli richiesta certificato SSL. Il contenuto della richiesta di certificato appare nella finestra popup;
4. Copiare il contenuto della richiesta di certificato in un file e inviarlo all';autorità di certificazione.
Per importare un certificato SSL firmato da un';autorità di certificazione:
1. Fare clic sulla scheda Sito;
2. Selezionare Impostazioni sito Web. Le impostazioni generali del tuo sito web appaiono sullo schermo;
3. Fare clic sulla scheda Secure Website. Il riepilogo del sito Web sicuro appare sullo schermo;
4. Fare clic sul pulsante Installa il certificato SSL. Il modulo per l';importazione dei certificati SSL viene visualizzato sullo schermo;
5. Effettuare una delle seguenti operazioni:
1. Digitare il percorso di un file contenente il certificato SSL nella casella di testo Nome file certificato o fare clic sul pulsante Sfoglia per individuare il file;
2. Oppure incollare il contenuto del certificato nella casella di testo Contenuto certificato;
6. Fare clic sul pulsante Invia. Il riepilogo del sito Web sicuro appare sullo schermo;
7. Fare clic sul pulsante Abilita SSL.
Per importare sia il certificato SSL di backup che la chiave privata:
1. Fare clic sulla scheda Sito;
2. Selezionare Impostazioni sito Web. Le impostazioni generali del tuo sito web appaiono sullo schermo;
3. Fare clic sulla scheda Secure Website. Il riepilogo sicuro del sito Web viene visualizzato sullo schermo;
4. Fare clic sul pulsante Installa i file SSL. Il modulo per la chiave SSL e l';importazione dei certificati appare sullo schermo;
5. Invia la chiave e il certificato:
1.Digitare il percorso di un file contenente la chiave privata nella casella di testo del nome file della chiave privata (fare clic sul pulsante Sfoglia per individuare il file) o incollare il contenuto della chiave privata nella casella di testo del contenuto della chiave privata;
2. Digitare il percorso di un file contenente il certificato SSL nella casella di testo Nome file certificato (fare clic sul pulsante Sfoglia per individuare il file) o incollare il contenuto del certificato nella casella di testo Contenuto certificato;
6. Fare clic sul pulsante Invia. Il riepilogo del sito Web sicuro appare sullo schermo;
7. Fare clic sul pulsante Abilita SSL.
Gli appunti:
I browser Netscape e Mozilla rilevano automaticamente se un sito Web utilizza la crittografia dei dati trasmessi o meno (come per Internet Explorer, si prega di incoraggiare i visitatori del sito Web che utilizzano Internet Explorer per utilizzare Internet Explorer 5.0 o versioni successive). Pertanto, se si utilizza un certificato autofirmato, i visitatori del sito Web verranno informati che il sito Web utilizza la crittografia, ma l';autorità che ha firmato un certificato non viene riconosciuta. Quindi, se intendi condurre l';e-commerce sul tuo sito web, è meglio ottenere un certificato SSL firmato da VeriSign o daThawte.
Il sito Web protetto può essere abilitato solo per il sito Web basato su IP (ad esempio, un sito Web che non condivide un indirizzo IP con altri siti Web). Quindi se hai diversi siti Web sul tuo server e solo un indirizzo IP, ognuno di questi siti (ma solo uno di essi) può essere compatibile con SSL. Vai per il certificato Wildcard ID GeoTrust Power Server.
Se avete domande, domande o feedback di quanto vi preghiamo di inviarci su TheSSLStore.com Come proteggere il vostro sito Web La maggior parte delle persone su Internet sono persone buone e oneste. Tuttavia, ci sono alcune persone che navigano in internet che si divertono a curiosare tra i siti Web e trovare buchi nella sicurezza. Alcuni semplici consigli possono aiutarti a proteggere il tuo sito web nei modi fondamentali. Ora, ovviamente, il tema della sicurezza dei dati è complicato e va oltre lo scopo di questa colonna. Tuttavia, affronterò le basi che dovresti fare per alleviare molti potenziali problemi che potrebbero permettere alle persone di vedere cose che non dovrebbero.
Directory di protezione password
Se hai una directory sul tuo server che dovrebbe rimanere privata, non dipendere dalle persone per non indovinare il nome della directory. È meglio proteggere con password la cartella a livello del server. Oltre il 50% dei siti Web disponibili è alimentato dal server Apache, quindi diamo un';occhiata a come proteggere con password una directory su Apache.
Apache prende i comandi di configurazione tramite un file chiamato .htaccess che si trova nella directory. I comandi in .htaccess hanno effetto su quella cartella e su qualsiasi sottocartella, a meno che una determinata sottocartella non abbia il proprio file .htaccess all';interno. Per proteggere con password una cartella, Apache utilizza anche un file chiamato .htpasswd. Questo file contiene i nomi e le password degli utenti a cui è stato concesso l';accesso. La password è crittografata, quindi è necessario utilizzare il programma htpasswd per creare le password. Per accedervi, vai alla riga di comando del tuo server e digita htpasswd. Se si riceve un errore :comando non trovato:, è necessario contattare l';amministratore di sistema. Inoltre, tieni presente che molti host web offrono modalità basate sul Web per proteggere una directory, in modo che possano avere le impostazioni necessarie affinché tu possa farlo in quel modo piuttosto che da solo. Escludendo questo, continuiamo.
Digita :htpasswd -c .htpasswd myusername: dove :myusername: è il nome utente che desideri. Ti verrà quindi richiesta una password. Confermalo e il file verrà creato. Puoi ricontrollare questo tramite FTP. Inoltre, se il file si trova all';interno della cartella Web, è necessario spostarlo in modo che non sia accessibile al pubblico. Ora apri o crea il tuo file .htaccess. All';interno, includere quanto segue:
AuthUserFile /home/www/passwd/.htpasswd
AuthGroupFile / dev / null
AuthName :Cartella protetta:
AuthType Basic
richiede utente valido
Sulla prima riga, regola il percorso della directory dove si trova il tuo file .htpasswd. Una volta impostato, visualizzerai una finestra di dialogo popup quando visiti la cartella sul tuo sito web. Ti verrà richiesto di accedere per vederlo.
Disattiva elenchi di directory
Per impostazione predefinita, qualsiasi directory sul tuo sito Web che non ha un file di homepage riconosciuto (index.htm, index.php, default.htm, ecc.) Visualizza invece un elenco di tutti i file in quella cartella. Potresti non voler che le persone vedano tutto ciò che hai lì. Il modo più semplice per proteggersi è semplicemente creare un file vuoto, denominarlo index.htm e quindi caricarlo in quella cartella. La seconda opzione è, di nuovo, utilizzare il file .htaccess per disabilitare l';elenco delle directory. Per fare ciò, basta includere la riga :Opzioni -Index: nel file. Ora, gli utenti riceveranno un errore 403 anziché un elenco di file.
Rimuovi i file di installazione
Se installi software e script sul tuo sito web, molte volte vengono forniti con script di installazione e / o di aggiornamento. Lasciando questi sul tuo server si apre un enorme problema di sicurezza perché se qualcun altro ha familiarità con quel software, possono trovare ed eseguire gli script di installazione / aggiornamento e quindi ripristinare l';intero database, i file di configurazione, ecc. Un pacchetto software ben scritto avviserà per rimuovere questi elementi prima di consentire l';utilizzo del software. Tuttavia, assicurati che sia stato fatto. Basta eliminare i file dal tuo server.
Tieniti aggiornato con gli aggiornamenti di sicurezza
Chi esegue i pacchetti software sul proprio sito Web deve rimanere in contatto con gli aggiornamenti e gli avvisi di sicurezza relativi a tale software. Non farlo può lasciarti aperto agli hacker. In effetti, molte volte viene scoperto e segnalato un buco di sicurezza eclatante e c';è un ritardo prima che il creatore del software possa rilasciare una patch per questo. Chiunque sia così incline può trovare il tuo sito che esegue il software e sfruttare la vulnerabilità se non si aggiorna. Io stesso sono stato bruciato da questo alcune volte, con interi forum distrutti e il ripristino da backup. Succede.
Riduci il livello di segnalazione degli errori
Parlando principalmente per PHP qui perché è quello che lavoro, gli errori e gli avvertimenti generati da PHP sono, per impostazione predefinita, stampati con informazioni complete sul tuo browser. Il problema è che questi errori di solito contengono percorsi di directory completi per gli script in questione. Dà troppe informazioni. Per alleviare questo, ridurre il livello di segnalazione degli errori di PHP. Puoi farlo in due modi. Uno è quello di regolare il file php.ini. Questa è la configurazione principale per PHP sul tuo server. Cerca le direttive error_reporting e display_errors. Tuttavia, se non si ha accesso a questo file (molti in hosting condiviso no), è possibile ridurre il livello di segnalazione degli errori utilizzando la funzione error_reporting () di PHP. Includi questo in un file globale dei tuoi script in modo che funzioni su tutta la linea.
Proteggi i tuoi moduli
I moduli aprono un ampio varco al tuo server per gli hacker se non li codi correttamente. Poiché questi moduli vengono solitamente inviati ad alcuni script sul tuo server, a volte con accesso al tuo database, un modulo che non fornisce alcuna protezione può offrire a un hacker l';accesso diretto a tutti i tipi di cose. Tieni presente ... solo perché hai un campo indirizzo e dice :Indirizzo: davanti a questo non significa che puoi fidarti delle persone per inserire il loro indirizzo in quel campo. Immagina che il tuo modulo non sia codificato correttamente e che lo script non lo sia. Cosa deve impedire a un hacker di inserire una query SQL o un codice di script nel campo dell';indirizzo? Con questo in mente, ecco alcune cose da fare e cercare:
Usa MaxLength. I campi di input nel modulo possono utilizzare l';attributo maxlength nel codice HTML per limitare la lunghezza dell';input sui moduli. Usalo per impedire alle persone di inserire troppo dati. Questo fermerà la maggior parte delle persone. Un hacker può ignorarlo, quindi devi proteggerti anche dal sovraccarico di informazioni a livello di script.
Nascondi emailSe si utilizza uno script form-to-mail, non includere l';indirizzo e-mail nel modulo stesso. Sconfigge il punto e gli spider di spam possono ancora trovare il tuo indirizzo email.
Usa convalida del modulo. Non parlerò qui di programmazione, ma qualsiasi script a cui un modulo si sottomette dovrebbe convalidare l';input ricevuto. Assicurarsi che i campi ricevuti siano i campi previsti. Verificare che i dati in arrivo siano di lunghezza ragionevole e prevista e del formato corretto (nel caso di e-mail, telefono, cerniera, ecc.).
Evitare l';iniezione SQL. Una lezione completa sull';iniezione SQL può essere riservata ad un altro articolo, tuttavia le basi sono che l';input del modulo può essere inserito direttamente in una query SQL senza convalida e, quindi, dare a un hacker la possibilità di eseguire query SQL tramite il modulo web. Per evitare ciò, controllare sempre il tipo di dati dei dati in arrivo (numeri, stringhe, ecc.), Eseguire una convalida del modulo adeguata per sopra e scrivere query in modo tale che un hacker non possa inserire nulla nel modulo che farebbe la query qualcosa di diverso da quello che intendi.
Conclusione
La sicurezza del sito Web è un argomento piuttosto complicato e ottiene MOLTO più tecnico di questo. Tuttavia, ti ho dato un manuale di base su alcune delle cose più facili che puoi fare sul tuo sito web per alleviare la maggior parte delle minacce al tuo sito web.