Poucos sabem, mas a grande maioria dos incidentes de segurança em sites são causados por aplicações com erros de programação ou desatualizadas.
Para quem utiliza aplicações baixadas da Internet, é imprescindível mantê-las atualizadas, conforme já descrito no artigo Mantenha as aplicações do seu site atualizadas.
Temos verificado também que vários clientes estão alterando a configuração dos seus sites, habilitando várias linguagens de programação como PERL, PYTHON, PHP, além de opções de CGI, etc, sendo que seus sites não utilizam estes recursos.
Estas alteraçoes acabam acrescentando riscos desnecessários aos sites e ao servidor, visto que na prática acabam somente adicionando recursos que poderão ser usados por hackers no ataque aos sites.
Um site com páginas mal programadas (com erros ou sem preocupações com segurança) ou com uma aplicação não atualizada, e configurado para rodar várias linguagens de programação, é uma bomba aguardando a explosão.
Recomendamos fortemente desabilitar todas os recursos não utilizados pelos sites. Quanto menos recursos habilitados, melhor para a segurança do seu site.
Outra questão geralmente negligenciada é a permissão de gravação em diretórios e arquivos de configuração.
Muitos softwares necessitam gravar em arquivos e diretórios, principalmente em arquivos de configuração onde são gravados dados como login de acesso ao banco de dados.
Estes arquivos devem permanecer com permissão para gravação somente enquanto a aplicação é instalada e configurada, mas após esta fase os arquivos devem ter suas permissões revertidas novamente para somente leitura.