Estoy preguntando esto mientras mantengo un pequeño sitio web para un grupo bastante aislado de personas (no más de 80). Actualmente tiene una función de inicio de sesión simple (correo electrónico, contraseña) y los datos que están "protegidos" son simplemente información de contacto de nuestros miembros (teléfono, dirección, correo electrónico). El sitio web está escrito en PHP y utiliza My SQL.

Estos últimos días, he estado leyendo a través de los foros y otros sitios sobre la seguridad del sitio web, ya que me gustaría mejorarlo en nuestro sitio. En este momento, la seguridad consiste en la protección de inyección SQL y las contraseñas de hash MD5 almacenadas en una base de datos. Esto se siente bastante inadecuado, pero también creo que es fácil llevarlo DEMASIADO. Quiero decir que no son exactamente los códigos de lanzamiento nuclear aquí, pero la gente de datos generalmente se siente un poco incómoda de mostrar en línea. El sitio en sí está alojado por un host web bastante conocido.

¿La única amenaza que puedo ver en este momento son los bromistas que se encuentran en el sitio y están probando algunos de sus arreglos caseros?

Así que pensé que un lugar en el medio sería suficiente. Me gusta

Protección de inyección SQL (mejorar si es necesario)Método hash más fuerte con sal.Protección XSSDDoS-protecciónSSL al acceder al área de miembros

¿Qué piensan ustedes de las personas más experimentadas?

Actualización: Me gustaría agregar que hago todo por mí mismo y no hay presupuesto para comprar técnicas criptográficas de lujo o contratar programadores profesionales.