Sicurezza del sito web - dovrei assumere uno sviluppatore? [chiuso]

Naviga le tue risposte
16

Creerò un nuovo sito Web con Joomla! 3.

Potenzialmente, questo sito mi procurerà un po 'di soldi attraverso le pubblicità ma sono un po' preoccupato di ciò che potrebbe essere fatto per attaccarlo. Dico un po 'perché non spero in enormi introiti e non penso che qualcuno proverà a corromperli nel dare loro il controllo del mio sito (come è successo al proprietario del conto Twitter @N), ma quando si tratta con cappelli neri che non conosci mai.

Non è necessario fornire un'autenticazione pubblica o avere persone diverse da me che inseriscono dati su questo sito Web (potrei accettare input via mail e copiarli manualmente a mano dopo aver controllato il loro contenuto, poiché desidero che la qualità di scrittura sia buono e coerente con il resto del sito).

Userò Joomla gratis! temi - quelli di base inclusi nell'installazione standard potrebbero andare bene.

C'è qualche minaccia che io, in qualità di noob della sicurezza che capisce un po 'di come funziona Internet (diciamo quanto basta per capire Heartbleed), assolutamente da proteggere?

Dovrei assumere uno sviluppatore professionista per il mio progetto, o ci sono solo alcune cose che dovrei fare per proteggere il mio sito in modo ragionevole (rendendo l'hacking non meritevole dello sforzo) di cui potrei imparare, per esempio, entro un mese di 8/5 tempo libero dei lavoratori?

    
posta Zachiel 02.03.2016 - 12:07
fonte

2 risposte

36

La cosa più importante da fare quando usi applicazioni di terze parti come Joomla! è di tenerle sempre aggiornate. La maggior parte degli attacchi sta prendendo di mira le vulnerabilità che sono state riparate molto tempo fa e colpiscono solo coloro che trascurano l'aggiornamento. Crea quindi un promemoria periodico nel tuo calendario per verificare se è disponibile un aggiornamento per Joomla (oltre a temi e plug-in in esecuzione) e installalo. L'aggiornamento di Joomla è molto semplice, perché può essere fatto dall'interfaccia di amministrazione. Non hai bisogno di competenze IT avanzate per farlo. Ma è molto importante farlo regolarmente!

Diffida di plugin, temi, estensioni e altri componenti aggiuntivi che non rilasciano aggiornamenti per molto tempo. Significa che o quell'addon è perfetto e non ha problemi di sicurezza, o che lo sviluppatore semplicemente non si preoccupa di rilasciare altri aggiornamenti per correggere le vulnerabilità della sicurezza. Ma quest'ultimo caso è molto, molto più probabile. Dovresti anche controllare regolarmente Elenco di estensioni vulnerabili ed evitare tutto ciò che è elencato lì.

Per ulteriori informazioni, consulta le domande frequenti su sicurezza e rendimento sul wiki di Joomla.

Questo in realtà si applica non solo a un'applicazione come Joomla ma all'intero stack del software, dal sistema operativo al server web, da PHP a MYSQL. Anche il SO e il webserver devono essere configurati in modo sicuro. Ma quando si utilizza una soluzione hosted, il provider probabilmente si prenderà cura di tutto tranne le applicazioni che si installano da soli, quindi probabilmente non dovresti preoccuparti di questo.

Ma è una cosa diversa quando noleggi un server virtuale che ti fornisce un sistema operativo nudo (o nemmeno quello) e ti aspetti di configurare tutto da solo. In tal caso sei responsabile dell'aggiornamento di tutto. Quando hai bisogno di questo per il tuo progetto, dovresti prendere in considerazione l'assunzione di qualcuno che sappia come rafforzare un server correttamente, chi sa quali componenti devono essere aggiornati e come questo viene fatto. Ma la persona che stai cercando non è uno sviluppatore di software. È un amministratore di sistema .

    
risposta data 02.03.2016 - 14:38
fonte
4

Questo è molto soggettivo e la risposta è una domanda, quanto apprezzi il tuo sito? avere uno sviluppo professionale del tuo sito non significa che sia sicuro, i professionisti sviluppano siti che hanno subito violazioni di massa.

Come sviluppatore direi che uno sviluppatore sarebbe meglio se stai cercando la qualità, e sì, la sicurezza potrebbe essere anche meglio, ma ci sono molti passi da fare quando si sviluppa un sito per garantire che il sito sia sicuro .

Se segui OWASP le 10 vulnerabilità più comuni e interrompi il tuo comportamento su un numero maggiore di siti Web di dimensioni minori su Internet, la maggior parte dei tuoi problemi sarà correlata a SSL e iniezioni quali (ma non limitate a):

  1. Heart bleed (SSL)
  2. DROWN (SSL)
  3. XSS (iniezione)
  4. SQL (iniezione)
  5. Esecuzione di codice / dati arbitrari (iniezione)

Questi 5 sono in la mia opinione qualsiasi applicazione web WORST nightmare ma anche facile da non lasciare accadere!

Riepilogo

Hai bisogno di un esperto di sicurezza? Sarebbe utile e se pensi che ne valga la pena, allora sì, se non pensi che ne valga la pena, allora no, non lo fai.

Hai bisogno di uno sviluppatore professionista? No, anche se per qualità e ragionevole sicurezza sì.

Puoi proteggerti? Sì certo, almeno in una certa misura.

Puoi imparare abbastanza nei tuoi limiti di tempo? Nessun problema.

Ovviamente questo è tutto relativo all'applicazione Web SOLO e non al server su cui è ospitato.

    
risposta data 02.03.2016 - 12:44
fonte

Leggi altre domande sui tag

Una macchina virtuale guest può essere compromessa da un virus sul computer host? È legale registrare le password dagli accessi non riusciti?