FTP csak TLS titkosítással
Az adatok védelme érdekében csak TLS alapú FTP kapcsolat engedélyezett. Ez azt jelenti, hogy sem a felhasználói név és jelszó, sem a feltöltött adatok nem "leshetők le" harmadik fél által, az adatátvitel teljesen biztonságos.
SMTP kívülről csak SSL/TLS-el
A kliensprogrammal történő levélküldés kizárólag SSL/TLS titkosítással vehető igénybe.
Levélküldés PHP scriptből
A PHP kétféleképpen tud levelet küldeni: 1. a mail() függvény segítségével, vagy 2. direkt SMTP használatával.
- A mail() függvény használatakor a feladó vagy a címzett mezőnek tartalmaznia kell a weboldal elsődleges domainnevét!
- SMTP használatakor a hostév localhost, a port 225. A standard 25-ös porton a PHP számára nem enged levelet kiküldeni a rendszer.
Apache .htaccess korlátozások
A .htaccess file-ban tiltunk minden olyan szabályt, ami a szerver biztonsági beállításait megváltoztatja vagy befolyásolhatja.
Ezek a beállítások az esetek nagy részében az Options, valamint a PHP beállításait módosító (php_value, php_admin_value, php_flag stb.) direktívákkal kezdődő sorok.
Ezek alkalmazása esetén a szerver egységesen 500 - Internal Server Error üzenetet ad.
Néhány példa tiltott beállításra:
- Options +ExecCGI
- Options FollowSymLinks
- php_admin_value ...
- php_flag ...
- stb...
Alapértelmezésben a szerveren az alábbi opciók engedélyezettek: SymlinksIfOwnerMatch, MultiViews.
PHP számára tiltott könyvtárak
Több elterjedt (CMS rendszerek ellen bevetett) támadás azt a módszert alkalmazza, hogy futtatható PHP scripteket tölt fel egy írható könyvtárba. Ha sikerült feltölteni a file-t, bármit tudnak futtatni a szerveren (SPAM küldés, botnet, stb)
A legközismertebb írható könyvtárakban ezért letiltottuk a PHP futtatását. Itt normál esetben egyáltalán nincsenek PHP file-ok, tehát nyugodtan megtehetjük.
Ilyen könyvtárak például: images, temp, tmp, cache, upload, uploads, stb.
Malware védelem
A tárhelyen olyan malware védelmet alkalmazunk, ami lehetetlenné teszi a PHP és egyéb file-ok megfertőzését, felülírását, vagy kártékony kód futtatását.
Ez a védelem a támadások jelentős részét megfogja (még akkor is, ha a weboldal kódjában biztonsági rés vagy egyéb sebezhetőség van).
Telepítés, karbantartás
Ha a malware védelem aktív, bizonyos CMS rendszerek karbantartása, kiegészítők telepítése, stb. nem működnek.
Telepítés, karbantartás idejére a malware védelmet fel kell függeszteni. Ezt az Adminisztrációs felületen (admin.web42.hu) a Weboldalak menüpont alatt (vagy API-n keresztül) tudjuk megtenni:
- Nyomjuk meg a Védelem gombot.
- A megjelenő ablakban válasszuk a Védelem felfüggesztése (Install mód) lehetőséget.
- A Védelem gomb ikonja átváltozik: - jelezve ezzel, hogy ebben az állapotban sokkal sebezhetőbb a weboldal.
A karbantartás befejezése után - amint lehet - aktiváljuk újra a védelmet:
- Nyomjuk meg a Védelem gombot
- A megjelenő ablakban válasszuk a Védelem aktiválása lehetőséget.
- A Védelem gomb ikonja újra aktív állapotba kerül: .
(Ugyanezeket a lépéseket az API-n keresztül is meg tudjuk tenni.)
Kivételek
Előfordul, hogy bizonyos könyvtárakat adattárolásra használ az oldal, tehát szükséges, hogy ezekbe írni tudjon akkor is, ha a védelem aktív.
Ennek semmi akadálya: az adott könyvtárakat kivételként fel kell sorolni.
Ezt a listát az Adminisztrációs felületen (admin.web42.hu) a Weboldalak menüpont alatt, az Írható gomb megnyomásával tudjuk kezelni.
Az itt felsorolt könyvtárakban a rendszer automatikusan letiltja a PHP futtatást.