Säker server:

1. Grundläggande ­säkerhetstänk

Om du slarvar med root-lösen­ordet spelar det ingen roll vilka eller hur många säkerhets­åtgärder du vidtar i ­övrigt. Förvara alla ­lösenord till servern eller webb­hotellskontot på ett säkert sätt. Välj långa och svårgissade lösenord, som innehåller siffror, bokstäver och andra tecken.

2. Uppdaterade ­serverprogram
Se till att alla program på servern ständigt hålls uppdaterade, i alla fall med säkerhetsuppdateringar. Om du har ett vanligt webbhotellskonto sköter webb­hotellet det åt dig. Om du har en vps-­lösning eller en dedikerad server behöver du antingen göra det själv eller teckna ett särskilt avtal med leverantören.

3. Nätverks­säkerhet
Brandväggar och skydd mot överbelast­nings­attacker är ett måste. Även det ska ingå i ett webbhotellskonto.

4. Uppdaterat publicerings­system (cms)
Om du använder ett ­publiceringssystem, en e-handelsplattform eller någon annan publiceringsplattform måste även den hållas uppdaterad.

5. Säkerhetsknep för din plattform
Googla på vilka säkerhets­åtgärder som finns för den plattform du använder. Det finns ofta inställningar att göra och tilläggsprogram att installera, som gör det svårare för hackare.

6. Trovärdigt ­webbhotell
Det webbhotell du anlitar måste ha en tillförlitlig ­säkerhetslösning och kunna garantera att andra ­kunder hos dem inte kan komma åt din databas. Den du delar server med har färre säkerhetsspärrar att ta sig igenom.

Lösenorden i databasen: 

Kryptera lösenorden
Om användaren själv får välja lösenord måste det krypteras innan det sparas i databasen. Då kan hackare inte läsa lösenorden i klartext (i alla fall inte på ett enkelt sätt). Kunderna använder ofta samma lösenord till många sajter. Om din sajt blir hackad riskerar du att avslöja lösenordet till kundernas e-post, Facebook, e-legitimation och så vidare.

Ändra glömda lösenord
Med krypterade lösenord kan kunden inte få tillbaka ett bortglömt lösenord (eftersom det aldrig kan visas i klartext). Låt i stället kunden ändra lösenordet om han eller hon inte kan logga in.
Funktionen för att ändra lösenord skickar då ett e-postmeddelande till kunden, med en länk med en verifieringskod. När kunden klickar på länken kan han eller hon välja det nya lösenordet och då vet du att kunden är ägare till kontots registrerade e-postadress.

Skydda dig mot sql-attacker
Använd det skydd mot så kallade SQL Injection-attacker som finns för det programmeringsspråk du använder. Var vaksam mot variabler som kommer in från användaren genom HTTP POST eller HTTP GET, alltså via formulär och url:en. De kan innehålla kod som riskerar att skada eller visa innehållet i databasen, om de inkluderas i en sql-fråga.

Kommunicera lösenord:

1. Skicka inte lösenord via e-post
Undvik att skicka lösenord till kunderna via e-post, eftersom det sker helt okrypterat och eftersom e-post ofta ligger kvar under lång tid.

2. Berätta inte över telefon
Det är ibland förvånande lätt att få tag i ett förlorat lösenord. Det är inte säkert att den som ringer och säger att den har glömt sitt lösenord är ärlig. Det här problemet försvinner om lösen­orden är krypterade, eftersom inte ens medarbetare på företaget kan läsa dem då.

3. Använd ssl (https)
I alla fall om du hanterar ännu mer känsliga uppgifter än lösenord.