Proteggere il proprio sito web

Una persona mi ha minacciato di deffacciarmi il mio sito web: habbofoxyforum.altervista.org , è possibile inserire qualche protezione per renderlo invulnerabile o meno vulnerabile?
Sò che la categoria non è esatta, ma non sò dove metterla xD

E' importante (anche se non il massimo) tenere aggiornati tutti gli applicativi. In particolare ti consiglio di controllare la tua versione di Cutenews.

Dai anche un'occhiata qui: http://php.html.it/articoli/lista/39/sicurezza-di-php/

[EuroSalute]

Per proteggere il proprio sito web da malintenzionati, è possibile utilizzare la funzione Substr_count , qui un utile collegamento:

http://www.webmaster-risorse.com/gui...bstr_count.asp

Qui è un codice che utilizzo per evitare che hackers possano danneggiare il sito:

Codice PHP:

if($view == "") {
$view="home";
}
// 1:Must be logged in to see
// 2:Must be logged out to see

$void=0;
$void += substr_count($view,"http");
$void += substr_count($view,".com");
$void += substr_count($view,"@");
$void += substr_count($view,"ftp");
$void += substr_count($view,":");
$void += substr_count($view,".");
$void += substr_count($view,"cgi");


if($void == 0) {

QUI VA MESSO IL CODICE PER FAR FUNZIONARE IL SITO

}
else {
send_mail($settings[admin_email],"Site Admin","Hack Attempt At $settings[site_title]","
View Variable: $view
//POTETE QUI INSERIRE ALTRE VARIABILI
Ip Address: $vip
Member: $username");
echo "Possible Hack Attempt!<br>
The system administrator has been notified.";
exit;
}


$view è la variabile del query string nel url, per esempio: http://www.miosito.com/index.php?view=home&

Se l'hacker tenta di entrare con una variabile che contiene queste stringhe:http, .com, @, ftp, :, . , cgi....il valore di $void non sarà mai uguale a 0(zero), la funzionalità del sito viene disabilitata, l'amministratore viene informato.

[EuroSalute]

Per proteggere il proprio sito web da malintenzionati, è possibile utilizzare la funzione Substr_count , qui un utile collegamento:

http://www.webmaster-risorse.com/gui...bstr_count.asp

Qui è un codice che utilizzo per evitare che hackers possano danneggiare il sito:

Codice PHP:

if($view == "") {
$view="home";
}
// 1:Must be logged in to see
// 2:Must be logged out to see

$void=0;
$void += substr_count($view,"http");
$void += substr_count($view,".com");
$void += substr_count($view,"@");
$void += substr_count($view,"ftp");
$void += substr_count($view,":");
$void += substr_count($view,".");
$void += substr_count($view,"cgi");


if($void == 0) {

QUI VA MESSO IL CODICE PER FAR FUNZIONARE IL SITO

}
else {
send_mail($settings[admin_email],"Site Admin","Hack Attempt At $settings[site_title]","
View Variable: $view
//POTETE QUI INSERIRE ALTRE VARIABILI
Ip Address: $vip
Member: $username");
echo "Possible Hack Attempt!<br>
The system administrator has been notified.";
exit;
}


$view è la variabile del query string nel url, per esempio: http://www.miosito.com/index.php?view=home&

Se l'hacker tenta di entrare con una variabile che contiene queste stringhe:http, .com, @, ftp, :, . , cgi....il valore di $void non sarà mai uguale a 0(zero), la funzionalità del sito viene disabilitata, l'amministratore viene informato.

Quoto me stesso in quanto il codice qui sopra può essere modificato tenendo conto di più caratteri da filtrare e più variabili da controllare dipende dalle funzionalità del vostro sito...

I caratteri da filtrare ce ne sono diversi in più, vedi questo articolo:

http://www.ehow.com/how_4434719_prot...r-attacks.html

Codice di esempio:

Codice PHP:

<?
//controllo anti-hackers
$catid = getParam("catid","");

$void=0;
$void += substr_count($catid,"http");
$void += substr_count($catid,".com");
$void += substr_count($catid,"@");
$void += substr_count($catid,"ftp");
$void += substr_count($catid,":");
$void += substr_count($catid,".");
$void += substr_count($catid,"cgi");

$ad_id = getParam("id","");

$void += substr_count($ad_id,"http");
$void += substr_count($ad_id,".com");
$void += substr_count($ad_id,"@");
$void += substr_count($ad_id,"ftp");
$void += substr_count($ad_id,":");
$void += substr_count($ad_id,".");
$void += substr_count($ad_id,"cgi");

$user_id = getParam("user_id","");

$void += substr_count($user_id,"http");
$void += substr_count($user_id,".com");
$void += substr_count($user_id,"@");
$void += substr_count($user_id,"ftp");
$void += substr_count($user_id,":");
$void += substr_count($user_id,".");
$void += substr_count($user_id,"cgi");

//$lSearchWordTpl=getParam("searchword","");
//getParam("do_search","");
//$_REQUEST["setlang"];
//$_REQUEST["order"];

$let_setlang = getParam("setlang","");

$void += substr_count($let_setlang,"http");
$void += substr_count($let_setlang,".com");
$void += substr_count($let_setlang,"@");
$void += substr_count($let_setlang,"ftp");
$void += substr_count($let_setlang,":");
$void += substr_count($let_setlang,".");
$void += substr_count($let_setlang,"cgi");
$void += substr_count($let_setlang,"$");
$void += substr_count($let_setlang,'"');
$void += substr_count($let_setlang,";");
$void += substr_count($let_setlang,",");
$void += substr_count($let_setlang,"'");
$void += substr_count($let_setlang,"#");
$void += substr_count($let_setlang,"&");
$void += substr_count($let_setlang,"(");
$void += substr_count($let_setlang,")");
$void += substr_count($let_setlang,"<");
$void += substr_count($let_setlang,">");

?>

Come potete vedere per le variabili catid, id, e user_id esse sono numeriche, prelevo soltanto il valore numerico di queste variabili (al di fuori del filtro) con una funzione getParamInt("","")....
Ma per la variabile setlang essa è composta solo di lettere....e quindi accetta anche qualsiasi tipo di carattere come il punto, la virgola, l'apostrofo e così via....

Potete, per esempio, creare il filtro in un file.php e richiamarlo con la funzione require...



*********************************

Potete inoltre creare un filtro per determinate variabili che accettino solo determinate lettere....

*********************************

Un altro metodo valido è quello di creare pagine di errore personalizzate, come per esempio la pagina NOT_FOUND

*********************************

Se il sito ha solo cutenews e non ha altre pagine in PHP puoi stare tranquillo, non credo possa fare molto con delle pagine statiche...

[EuroSalute]

A mio avviso è importante conoscere come è strutturato il codice del vostro sito, ancor più se avete installato un preconfezionato(cms, forum, ecc.).

Di solito chi installa un preconfezionato è perchè o non ha conoscenze del codice o vuole già una cosa pre-costruita.

Comunque....cosa voglio dire è semplicemente :

- aggiungere un filtro anti-hackers (anche se non lo ritenete necessario) qualsiasi sia il tipo di codice con cui è costruito il vostro sito, oppure anche se avete aggiornato il codice all'ultima versione;

- il filtro blocca il sito agli intrusori e contemporaneamente vi avverte quale tipo di variabile è stata usata, l'indirizzo ip dell'intrusore(potete bloccare l'ip), se l'intrusore è un utente registrato(potete bloccare l'account dell' utente), ecc.