Javascript / SQL enjeksiyonu ben karşı korumak istiyorum ilk şey olacaktır. Ayrıca, kullanıcıların sitenize dosya upload izin mümkünse delik olduğunu akılda tutmak. Onlar zorlama kaba eylemlerine hedef olabilir aynı zamanda yönetici kontrol panelleri (CPanel, vb) dikkatli olun.

Eğer herhangi bir 3. parti kütüphaneleri kullanıyorsanız, onların haber listeleri için abone olmak için emin olun, ve onların güvenlik uyarılarına haberdar olmak deneyin.

Ben gerçekten hoş değildi kez hangi bir 3. parti PHP kütüphanesinde bir güvenlik açığından tarafından alınan bütün bir sunucu gördüm. Bu apaçık ortada, ancak insanların çoğunluğu akınlarına kadar etkili neden olan, bunu yapmayın şaşıracaksınız. :)

Kendi güvenlik testlerini yapmak için beceri / bilgi yoksa, ben WebInspect öneriyoruz. Ben fiyat emin değilim, ama bu web güvenlik testi için test ettik en iyi araçtır. Bu web sunucusu veya bilinen ambalajlarda bilinen akışlarında ağırlıklı olarak arıyoruz çünkü Nessus gibi araçları bir sürü gerçekten, sizin durumunuzda yardımcı olmayacaktır.

Ratproxy :

A semi-automated, largely passive web application security audit tool, optimized for an accurate and sensitive detection, and automatic annotation, of potential problems and security-relevant design patterns based on the observation of existing, user-initiated traffic in complex web 2.0 environments.

Detects and prioritizes broad classes of security problems, such as dynamic cross-site trust model considerations, script inclusion issues, content serving problems, insufficient XSRF and XSS defenses, and much more.

Normal olarak uygulamayı kullanabilirsiniz olurken ratproxy kullanmak ve olası güvenlik açıkları vurgulamaktadır.

Ben ikinci soruya başlayacak. Web sitenizde güvenlik açıkları geçersiz için birkaç adımları takip etmek zorunda:

1. Eğer açık kaynak CMS kullanıyorsanız (Joomla gibi, Drupal veya diğerleri) bunu güncel tutmak. Ayrıca 3. parti bir düzenli olarak, vb bileşenleri, modülleri, (en kısa sürede) güncelleyin. Bu muhtemelen en önemli adımdır.
2. (WinSCP gibi) güvenli bir FTP istemcisi yükleyin ve en güvenli bağlantı kullanın
3. Tüm FTP şifreleri değiştirin. Güçlü parolalar kullanın.
4. Değişim sitenize idari arka uç girişler
5. Kontrol edin. Htaccess dosyası permisions ve içeriğini. Eğer daha önce kullanmadıysanız, bu dosyayı alın.
6. Eğer web klasöründe herhangi unutulmuş php dosya tarayıcılar yok emin olun.

Eğer web sitesi güvenliğini test etmek istiyorsanız Şimdi, ücretsiz ve açık kaynak araçları vardır. I w3af ile başlayan tavsiye ederim - kapsamlı bir web sitesi denetim çerçevesi bulunuyor. Ancak, onunla biraz oynamak zorunda kalacak. Basit bir sürü websecurify olduğunu. Sadece sahip olmak istiyorsanız hızlı sonuçlar websecurify kullanın. Ben en popüler ücretsiz web sitesi güvenlik test araçlarını anlatan bir blog yazısı bulundu.

Eğer tam bir acemi iseniz Ancak, ben bir profesyonel bir web sitesi güvenlik testi sipariş tavsiye ederim. Örneğin edin webyfly.com.

1. Için Robert Mirek answer cevap - Ben varsayılan olarak CMS güncelleştirmeleri tavsiye etmem. Yeni sürümler, henüz patlatır yamalı edilecek, yeni gelmek eğilimi olarak güncellenmesi her zaman etkili değildir. Burada asıl sorun, hatta versiyon kendisi ama güvenlik açığı büyür için şans güncellenmiş ve bu gibi her güncelleme ile gereken tüm eklentileri (veya uzantıları veya modüller) değildir. Birkaç gün bekleyin ve güncelleme yapmadan önce bir yuvarlak okumak, size `kendinize sorun bir sürü tasarruf edeceğiz.

2. Site güvenliği denetimi ile ilgili. Soru daha belirli olması gerekir. Eğer (SQL enjeksiyonu, Yasadışı erişim, XSS, kazıma?) Bazı saldırılar (yani botnet DDoS) kaçınılması ve olamaz 3. parti çözümleri yoluyla absorbe edilmelidir endişe nelerdir, diğerleri WAF ile hafifletilebilir.

Ben bir güvenlik şirketi (Incapsula) için çalışmak ve görmek ve konu hakkında çok şey okuduktan sonra ben size bir şey söyleyebilirim - denetimi güçlü bir WAF ve bulut tabanlı DDoS hafifletme platformun arkasında değilse, neredeyse ilgisiz, size güvenli değildir.