Hallå där LoBBoZ på Sweclockers!
Ser att du är igång och pillar med hemsidan och säkerheten, riktigt schysst initiativ! Att securityheaders.com ger en fet diss med ett F är ju lite surt, men skitbra att du tar tag i det. Headers är absolut en grym start
Du nämner ju själv .htaccess-filen, och där är du helt rätt på bollen! Precis som du säger är den sjukt användbar för att styra vem som får se vad. Man kan ju, till exempel, lösenordsskydda en hel katalog eller bara vissa filer om man vill ha koll på att inte precis vem som helst kan tanka ner ditt CV hur som helst. Eller varför inte blocka IP-adresser som beter sig skumt? Det är en liten men mäktig fil på Apache-servrar.
Eftersom du kör one.coms Website Builder är möjligheterna att gräva jättedjupt kanske lite begränsade jämfört med om du hade snickrat ihop allt själv från grunden. Men det finns ändå grejer att tänka på utöver headers och .htaccess-fifflande:
Kontaktformuläret: Det är en klassiker för bus. Se till att du validerar all input som kommer därifrån. Annars kan nån illvillig skicka in kod eller försöka utnyttja det för att skicka spam via din server (om det nu är så one.com har löst det). Enkla saker som att kolla att e-postadressen ser ut som en e-postadress, att meddelandet inte är sjukt långt eller innehåller konstiga tecken kan rädda dig från mycket elände.
Ditt CV (PDF): Hur visas den? Länkar du direkt till PDF-filen? Se till att filen i sig inte innehåller nåt skumt (även om det är mindre vanligt för en enkel CV-fil). Om du bäddar in den, se till att inbäddningsfunktionen är säker (vilket one.com förhoppningsvis har löst). Tänk också på att om den är lätt att hitta, så kan ju vem som helst tanka ner den. Kanske inte en jättestor risk för ett CV, men bra att ha i bakhuvudet.
One.com och deras Website Builder: Håll koll på om det finns uppdateringar till själva byggaren eller eventuella moduler du använder. Precis som all annan mjukvara kan det finnas säkerhetshål som täpps till i nya versioner. Även om du inte "bygger" så mycket just nu, så kan grundplattformen behöva patchas.
Lösenord: Självklart, men värt att nämna: Se till att lösenordet till ditt one.com-konto är starkt och unikt! Om nån tar sig in där kan de ju göra precis vad de vill med din sida.
Förstå vad "Website Builder" gör: Försök att få en känsla för hur one.coms verktyg hanterar filer och kod. Ibland kan de generera kod som kanske inte är optimal ur säkerhetssynpunkt, men det är svårt att påverka direkt som användare av en byggare.
IT-säkerhet förändras snabbt. Det som är säkert idag är kanske inte det imorgon. Att hålla sig uppdaterad, läsa på (precis som du gör nu på Sweclockers!), och vara lite lagom paranoid är en bra grundinställning.
Fortsätt gräv i .htaccess, det är en guldgruva för att lära sig mer om hur webbservrar funkar på en grundläggande nivå. Och lycka till med att säkra upp sidan! Fråga på om det dyker upp fler funderingar!
/En sweanisse som gillar säkerhetspill
