Calificación:
  • 1 voto(s) - 5 Media
  • 1
  • 2
  • 3
  • 4
  • 5
Directivas para evitar el escaneo de tu web (posible hacking)
#1
Bueno, hay un post marcado, queriendo colaborar también con unas directivas para el .htaccess

Bueno les dejare una Nota de que sirven ^^

Bueno estás directivas sirven para evitar un scanner de vulnerabilidades, es decir:evitar escaneos y cualquier intento de manipulación malintencionada de la URL. Con esta regla es imposible lanzar ataques de inyección (SQL, XSS, etc)

Código PHP:
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(-|\.|') [OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(<|>|%3C|%3E)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(libwww-perl|libwwwperl|snoopy|curl|wget|winhttp|python|nikto|scan|clshttp|archiver|loader|email|harvest|fetch|extract|grab|miner|suck|reaper|leach)(.*) [NC,OR]
 
RewriteCond %{REQUEST_URI} ^(/,|/;|/<|/>|/'
|/`|/%2C|/%3C|/%3E|/%27|/////) [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|<|>|'|%3C|%3E|%26%23|%27|%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|%3C|%3E|%27|%26%23|%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)('|-|<|>|,|/|\\|\.a|\.c|\.t|\.d|\.p|\.i|\.e|\.j)(.*) [NC,OR]
RewriteCond %{HTTP_COOKIE} ^(.*)(<|>|'|%3C|%3E|%27)(.*) [NC] 

Bien aqui tengo otras directivas que uso en mi web y son para evitar que se liste el contenido de los directorios.


Código PHP:
Options All -Indexes 

Nota: No usar esta directiva en Skylium, ya que obtendrán un hermoso error 500, usen la siguiente en su lugar. Más información Me sale error 500 ¿Qué hago?

## Lo mismo que lo anterior

Código PHP:
IndexIgnore 

Protegerse contra los ataques DOS limitando el tamaño de subida de archivos
esto es en caso que tengas usuarios y un script donde se adjunten archivos como avatares, archivos adjuntos etc..

Código PHP:
LimitRequestBody 10240000 

Bien si tu sitio web tiene archivos .tlp (como phpost, si usas ese ya no necesitas meterlo ^^) ES para olcultar archivos para evitar la descarga.

Código PHP:
<FilesMatch "\.(ico|pdf|flv|jpg|jpeg|png|gif|js|css|swf)$">
Header set Cache-Control "max-age=290304000, public"
</FilesMatch
==========Actualizo post agregando nuevos codigos==========

Como cambiar de la URL www para la dirección URL sin www
Y el siguiente código debe redirigir al usuario de la dirección URL de su dominio con www a la dirección URL sin www.

Código PHP:
RewriteEngine On
RewriteCond 
%{HTTP_HOST} ^www.webempresa.com [NC]
RewriteRule ^(.*)$ http://webempresa.com/$1 [L,R=301] 

Comprimir archivos CSS, JavaScript, XML y texto
El siguiente código está diseñado para comprimir el código de salida CSS, JavaScript, XML y de texto antes de ser mostrado en el navegador. La idea básica es ahorrar tiempo en la carga y no consumir tanto ancho de banda.

Código PHP:
AddOutputFilterByType DEFLATE text/html text/plain text/xml text/css text/javascript application/x-javascript 

Almacenamiento en caché de imágenes

Cada vez que recibimos visitas en la web, el servidor web obtiene todos los archivos necesarios, tales como archivos CSS y JavaScript, así como fotos e imágenes para poder mostrarla. Podemos usar el código de abajo para gestionar los archivos de caché, y que cuando un visitante vuelva a visitarnos por segunda vez, el servidor cargue el archivo de la caché lo que acelerará el tiempo de carga sitio web.

Código PHP:
ExpiresActive On
ExpiresByType image
/gif A432000
ExpiresByType image
/jpg A432000
ExpiresByType image
/jpeg A432000
ExpiresByType image
/png A432000
ExpiresByType image
/ico A432000
ExpiresByType image
/bmp A432000
ExpiresByType text
/css A432000
ExpiresByType text
/javascript A432000
ExpiresByType application
/javascript A432000
ExpiresByType application
/x-javascript A432000 

Proteger el archivo .htaccess
El siguiente código evita que su archivo .htaccess puedan ser leído directamente desde el navegador web.

Código PHP:
order allow,deny
deny from all 

Prevenir el hotlinking
A veces, otros webmasters, hacen suyas las imágenes de nuestras webs, artículos, etc., afectando con ello el ancho de banda de que disponemos en nuestro Hosting. Si ademas ellos tienen una gran cantidad de visitantes al día, estos van a utilizar nuestro ancho de banda del servidor para visualizar nuestras imagenes en la web ajena a nosotros. Se puede utilizar el código que se muestra a continuación para evitar el hotlinking, y de esta forma reemplazar la imagen original por otra con algún aviso para hacerles saber que la imagen es nuestra o que el hotlinking es una mala práctica, también se puede desde el cpanel de algunos host, como todavia no me activan la cuenta en skylium no se si tienen hotlink ^^

Código PHP:
RewriteEngine On
RewriteCond 
%{HTTP_REFERER} !^http://(.+\.)?webempresa\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule .*\.(jpg|gif|bmp|png)$ http://urldetuweb.kawaii/laimagenparaevitarelhostlink.jpg [L] 

Cita:un consejo es subir la imagen a un sitio de alojamiento de imágenes como ImageShack para evitar que su ancho de banda se vea afectado.

Forzar el uso de SSL
Este código fuerza a utilizar SSL, no permitiendo conexiones http. Para evitar escuchas en http:// utilizamos por debajo la directiva ErrorDocument. (Solo funciona si tienes habilitado el SSL en tu host :v)

Código PHP:
SSLOptions StrictRequire
SSLRequireSSL 

Cuando una línea comienza por # es un comentario que no tiene ningún efecto.

Cuando alguien visita su sitio el servidor web Apache verifica si tiene un archivo .htaccess en algún lugar de su espacio web a partir de la carpeta raíz o la carpeta principal y rastrea todas las carpetas hasta llegar al archivo solicitado. Si encuentra un archivo .htaccess, sus directivas se aplican a la solicitud actual.

Es importante saber que el archivo .htaccess debe ser legible por el servidor Apache. Por tanto es importante consultar con su Hosting si se requiere algún permiso especial que hayan establecido para los archivos .htaccess. En general los permisos correctos para este archivo son 644.

Estas apenas son unas pinceladas de las muchas posibilidades que tiene la correcta gestión del archivo .htaccess que en la mayoría de sitios webs, del nivel que sean, suele pasar desapercibido y es relegado al estatus de un archivo más, cuando el potencial del mismo es tan grande como quiera otorgarle el usuario.

Lectura recomendada sobre .htaccess:
http://httpd.apache.org/docs/1.3/howto/htaccess.html
http://httpd.apache.org/docs/2.2/howto/h...s.html#how
http://es.wikipedia.org/wiki/Htaccess http://htaccess-rlz.blogspot.com/


Ahora si ya esta mas completo el post Tímido
WWW
#2
He añadido una pequeña nota, y es que la siguiente directiva no es posible usarla, ya que obtendríamos un error 500 en nuestros sitios:

Código:
Options All -Indexes
WWW
#3
Muy bueno por lo general siempre suelo utilizar Options All -Indexes que es la que para mi es primordial así aguardar apariencias.
WWW
#4
Marco importante, (de hecho muy importante) ,y pues recordar a los lectores que Skylium P2H no cuenta precisamente con un SSL para sus webs

alberto_es escribió:SSLOptions + StrictRequire
SSLRequireSSL 
Cualquier duda, pregunta, comentario... Aquí estoy Guiño
#5
Cierto olvide lo de el error 500 gracias por editar ^^ Kevin si lo especifique haha :3
WWW
#6
MPH claro, seguire aportando a la comunidad. Gracias por tus comentarios Gran sonrisa
Cosas por hacer en skylium:
Ser feo []
Tener 50 mensajes [X]
Tener 50 post [X]
Ser moderador [X]
Tener reputación [Ver]
Tener un post marcado "importante"[]
WWW
#7
Yo uso phpost la mayoria de estas directivas las lleva aunque hay otras que no vere si se las pongo.
#8
Excelente post, gracias por publicarlo nunca esta de más este tipo de previsiones.
Crear tipo de nodo. Agregar campos CCK. Crear Vista. Enjuague. Y repita.
WWW
#9
Hace tiempo leí en un post sobre como proteger tu web y cachear el contenido. Hace una semana lo busqué y no lo encontre jaja

Muchas gracias por compartirlo!! Sonrisa
Próximamente sitio web de descargas, sistemas operativos Samsung, archivos combinados oficiales Samsung (reparación de imei y desbloqueo FRP), programas útiles para la reparación de Software.
Servidor FTP premium, mínima cuota mensual (trimestral, semestral, anual)
WWW
#10
Gracias por el aporte y compartir, algunas tendre que implementarlas, ya que no las usaba y otras ni las conocia.

Espero que sigas creando post de buena calidad...Gran sonrisa

¡Me gusta!




SI TE LLAMA LA ATENCION UNA ESTRELLA... SIGUELA,
SI TE CONDUCE AL PANTANO... YA SALDRAS DE EL.
PERO SI NO LA SIGUES... TODA LA VIDA,
PENSARAS QUE ESA ERA TU ESTRELLA.




WWW


Posibles temas similares...
Tema Autor Respuestas Vistas Último mensaje
Bug [Duda] ¿Es posible reciclar servidores de minería? yuma2009 1 34 01-08-2017, 05:45 AM
Último mensaje: garcon
Información Método PHP para evitar el uso de HTML en un form drako 11 1,364 07-03-2014, 01:01 AM
Último mensaje: KeviNxDTM
  como evitar hackeos? phpost matyimpact 19 1,595 23-05-2013, 04:53 PM
Último mensaje: MrLoco
  Evitar la caché de los navegadores con PHP diringax 6 860 22-03-2013, 09:55 PM
Último mensaje: Drod
  5 errores que debemos evitar al escribir código shackur 11 1,117 12-01-2013, 05:51 PM
Último mensaje: natestale
  [TUTORIAL] Como evitar el Hotlinkeo (robo de imágenes) Taquion 8 1,651 12-01-2013, 05:50 PM
Último mensaje: natestale
  Un buen manual para aprender todo lo posible zonecrozz 8 830 31-07-2012, 10:50 PM
Último mensaje: makgyverzx
  Directivas de .htaccess Taquion 5 1,882 15-06-2012, 12:22 AM
Último mensaje: Alianza
  es posible copiar el slider de cuevana?? ndevoix 4 1,121 15-05-2012, 11:04 PM
Último mensaje: ndevoix
  Evitar ataques DDoS en el DNS Taquion 13 3,673 03-05-2012, 09:53 PM
Último mensaje: jorge2012



Usuarios navegando en este tema: 1 invitado(s)