Hvis du vil gjøre nettsiden mer trygg må du tenkte på “Website hardning”. Website hardning kan oversettes til “Nettsted herding” på godt norsk. Dette går ut på å gjøre nettstedet mer robust og motstandsdyktig mot hacker angrep. Det går ut på å legge til forskjellige lag med beskyttelse for å redusere den potensielle angrepsoverflaten.

Å gjøre dette handler om å beskytte hjemmesiden på flere nivåer, for eksempel:

  • På applikasjonen nivå
  • På operativsystemet nivå
  • På web-server nivå
  • På database nivå

Det er viktig å understreke at man ikke kan gi en enkelt oppskrift på hvordan man gjør dette fordi hvert miljø er unikt. For eksempel, hvis nettstedet bruker WordPress-plattformen, kan noen av tiltakene for eksempel være:

  • Begrens tilgang til wp-admin for kun bestemte IP-adresser som er blitt “whitelisted” i brannmuren.
  • Deaktivere PHP-kjøring inne i opplastingsmappen.
  • Deaktiver direkte PHP-kjøring inne i hele wp-innholdsmappen når det er mulig.
  • Beskytte .htaccess filen.

Det er ikke sikkert at disse tiltakene kan brukes på alle WordPress sider. For eksempel kan IP adressen til admin være dynamisk og dermed kan man ikke whiteliste admin sin IP. Som sagt, alle miljøer er unike.

Man bør også legge til sikkerhetsforsvar til serveren, selv om dette kan være svært utfordrende. Det finnes mange ulike servere noen er:

  • Windows IIS
  • Apache
  • Nginx
  • node.js
  • Lighttpd

Man må vite hvilken server nettsiden kjører på og undersøke hvilke alternativer man har. Noen ganger kan det være hybridmiljøer med varierende elementer.

Forholdsvis universelle tiltak er: 

  • Hold CMS og plugins alltid oppdatert.
  • Overvåk nettstedet ditt og følg med loggaktiviteten.
  • Ha lange, unike og komplekse passord.
  • Fjern unødvendige plugins og utvidelser fra nettstedet.
  • Bruk 2-trinnsverifisering når det er mulig.
  • Installer en bannmur for nettstedet.

Hovedproblemet med “Nettsted herding” er at det er teknisk og tidsmessig krevende. Kanskje har du mangel på forståelse for bruken av sikre tunneler og statiske IP-proxyer. Deretter har du utfordringene fra webservere, er det en Windows IIS-webserver eller en Apache-webserver? Er det noe annet? Og hva om miljøet er en hybrid med varierende elementer, hver med spesifikke hensyn.