Algumas perguntas e dicas referentes a segurança do site:
1. Como escapar corretamente os formulários PHP ou mesmo ASP para que não se sofra um SQL injection?
R: Filtrando seu conteúdo.
2. Como lidar corretamente com permissões de arquivos para que uma página PHP não consiga reescrevê-los?
R: Utilizando o .htaccess do Apache, ele restringe o acesso a determinados arquivos e pode impedir hotlinking fora do seu site.
3. Como configurar uma pasta para upload de documentos fora do link navegável para que ninguém consiga realizar um upload de um script e executá-lo?
R: Coloque a pasta acima do diretório /public_html/, para acessá-la você pode usar um PHP com a função fopen().
Outras Dicas:
- Senha de FTP deve conter caracteres especiais e se possível ser alterada de tempos em tempos, sempre que um PC usar o FTP se certificar de que este não esta infectado por algum spyware por exemplo, 90% de ataques a sites e invasões em si são com senhas de FTP roubadas desta maneira, exemplo de senha segura: 7g6s3evhfF%$
- Evitar permissões desnecessárias em pastas, como por exemplo a 777, arquivos também. Usualmente formulários de upload tem grandes falhas com isto;
- Sempre que tiver formulários de upload no site, como imagens etc, fazer uma checagem do conteúdo MIME TYPE antes de efetuar o upload. O mesmo para formulários de e-mail, são usados muito para envio de spam por brechas nos códigos, sempre verificar se o conteúdo dele é o esperado e não tem nenhum comando SQL ou outro;
- Utilizar as ferramentas disponíveis no cPanel, como por exemplo fazer o donwload de backups quando possível, pelo menos do MySQL e sempre manter uma cópia do site, da estrutura de arquivos do site em um computador local e não apenas uma única cópia no servidor, por mais segurança que seja feita, backups e muitas coisas, estamos lidando com uma máquina que pode dar problemas e você estando preparado sempre terá mais segurança;
- Arquivos do site devem sempre quando possível serem auditados, pelo menos os diretórios e verificar se todo o conteúdo é realmente conhecido e se não tem nenhum arquivo estranho ou fora do conhecimento da equipe técnica que cuida do site.
