Protegir la web és molt important, tothom sap que una web sense seguretat pot caure fàcilment, però si afegim una mica de seguretat aquesta facilitat es redueix dràsticament.

El problema és que si ens posem a buscar per Internet formes de protegir una web trobessin centenars de formes i consells per a aquest fi. Llavors …. ¿Cal fer-les totes? La resposta és no.

Sens dubte la forma més segura de protegir la web i impedir un hakeo és utilitzar claus segures i amb segures no em refereixo al fet que no se les diguem a ningú sinó que sigui difícil de desxifrar amb força bruta. La força bruta és provar totes les combinacions una per una.

Sembla que es vagi a trigar molt a aconseguir desxifrar una paraula o un nombre de quatre xifres com en els caixers automàtics però la veritat és que en els caixers automàtics només disposem d’uns pocs intents abans que s’empassi la targeta a més de l’handicap de haver de teclejar els codis d’un en un. Seria una cosa així … primer intent 0000 error, segon intent 0001, error, tercer intent 0002, error. Adéu targeta i el sistema de seguretat acaba aquí.

Un ordinador (sense límit d’intents) pot provar milers de combinacions per segon i és capaç de desxifrar una clau senzilla de lletres i números en 5 segons. I no és conya ni una exageració.

Una clau segura consta de lletres majúscules, lletres minúscules, nombres i caràcters especials com a punts, guions, interrogants, etc … I per rematar que la longitud no sigui inferior a 10 caràcters.

Amb claus segures ja tenim el 50% de la feina trobo a qüestió de protegir la web i tampoc és una exageració. La resta de pràctiques per a defensar una web d’un possible hakeo depèn molt de que volem protegir, però no és tan important com tenir claus segures.

Per exemple … podríem crear un arxiu htaccess i un arxiu htpasswd per protegir l’accés a la secció d’administració o als directoris que desitgem protegir però no serviria de res si el haker aconsegueix la clau d’accés per ftp o la de la base de dades de mysql.

Amb accés a la base de dades un hacker podria canviar el contingut d’un web com a mínim, pot canviar tasques programades i col·lapsar el servidor, pot esborrar complementi la base de dades deixant la web sense contingut i eliminar les configuracions de les aplicacions php i per tant deixar la web sense funcionament.

Què claus canviar per claus segures? La resposta és totes. Normalment quan vam comprar un domini i el vam allotjar en un hosting aquest hosting no assigna un nom d’usuari i una clau d’accés. Aquesta és la més important de totes i la primera que cal canviar per una clau segura. Després d’aquesta les més importants són la clau d’accés de FTP i / o SFTP, la de la base de dades de MySQL (en cas que la web funcioni amb base de dades) i la d’accés a la secció d’administració de la web (en cas que no sigui una web estàtica).

Per tant:

  1. Clau d’accés al hosting
  2. Clau d’accés FTP i / o SFTP
  3. Clau d’accés a la base de dades
  4. Clau d’accés a la secció d’administració del web

Podíem omplir la web de la millor seguretat i no serviria de res si el haker sabés la clau d’accés de ftp i la ip de l’equip que administra la web (veure com protegir l’accés al web per ip),

Llavors la conclusió és clara i ja no us sembla una ximpleria que amb posar claus segures tinguem el 50% de la feina fet, ¿oi?

En la meva opinió si utilitzant claus segures ja tenim tira la meitat de la feina … això vol dir que fent tota la resta cobriríem l’altre 50% i la web estaria totalment blindada però aquestes pràctiques comporten moltíssim més treball que posar una contrasenya. ¿No?