وظيفة معلم 'استضافة'

7 اخطاء الادارية النموذجية في CMS

حصة

CMS (موجز للمواد نظام إدارة المحتوى) هو في الحقيقة قطعة جدا محبوب من برنامج حاسوبي لبلوق العاملة، ومواقع خاصة، ومواقع الشركات وأي أنواع أخرى من المواقع كنت قادرا على الاعتقاد من. CMS بسيطة نوعا ما على الاستفادة من وهذا هو سبب أساسي 1 لماذا أصبحوا هكذا محبوب.

ومع ذلك، بسيطة للاستفادة من وتأمين ليست بالتأكيد مرادفات عندما نشعر بالقلق CMS. بالرغم من أن معظم الأنواع المهاجرة أعلى لا تحتاج إلى جهد كبير لخلق لهم آمنة للغاية، انها ليست غير عادية لتحديد CMS مع من أمن الصحيح. CMS هذه هي أهداف بسيطة للقراصنة.

عندما يحصل اختراق CMS، عموما سبب وراء هذا ليس أن CMS نفسها غير آمنة ولكن أن المتسللين استغرق صالح بعض الأخطاء المشرف النموذجية. قائمة الأخطاء admin غير طويلة الى حد ما ولكن ليس من المستغرب أن العديد من تلك التي لربما الأكثر شيوعا هو في الحقيقة رقم واحد. وفيما يلي بعض من هذه الأخطاء تحتاج إلى معرفة وبأي حال من الأحوال لا داخل CMS إدارة لك:

1. كلمات السر الافتراضية

من بين الأشياء الأولية قراصنة تحقق من مرة أنها استراتيجية للهجوم هو "كلمة السر سهلة". كلمات السر الافتراضية (أي كلمات السر التي تأتي بشكل جماعي باستخدام التثبيت) هي بسيطة للبحث عن. انها دقيقة ان CMS عديدة لا تتضمن كلمة المرور الافتراضية أو حتى لو كانت تفعل، عملية التثبيت سوف تجعلك تغير كلمة السر الخاصة بك قبل كنت قادرا على استخدام البرنامج ولكن إذا CMS الخاص بك يأتي وجود كلمة المرور الافتراضية، تأكد من أنك تغييرها. أيضا، تأكد من أن قمت بتغيير كلمة السر لقاعدة البيانات أيضا لمجرد أن قاعدة البيانات هو أيضا هدفا للقراصنة.

2. كلمات فارغة

وبالإضافة إلى ذلك إلى كلمات السر الافتراضية، وكلمات السر فارغة إضافية مدراء خطأ نموذجي جعل (إذا كان CMS يسمح لهم ببساطة لأن العديد من CMS لحسن الحظ لا تسمح كلمات مرور فارغة). انها ليست ضرورية لنقول كيف كلمات المرور الفارغة محفوفة بالمخاطر هي - أنها لا تحتاج الى التخمين على الإطلاق، والقرصنة نظام الإدارة الوظيفية وجود كلمة مرور فارغة ليست سوى قطعة من الكعكة للمبتدئين. ان كل ذلك يتطلب أن يكون لتخمين اسم المستخدم - إذا كان اسم المستخدم هو "المسؤول"، "المسؤول" أو بعض شيء مشابه، ثم كسر في CMS الخاص بك هو حقا بضع ثوان.

كما هو الحال مع كلمات السر الافتراضية، وتهديد أكبر عندما يتأثر حساب المسؤول ولكن ليس هناك سبب للسماح لغير مشرف للمستخدمين، الذين قد الوصول نحو قاعدة البيانات لديك كلمات مرور فارغة. هذا هو السبب في أنه من المنطقي فرض مبادئ توجيهية صارمة لكلمات المرور للجميع.

3. لا بقع تثبيت

انها دقيقة ان تركيب عشرات من بقع كل يوم هو ممل ولكن في حال كنت لا احترس من (كحد أدنى) التحديثات الحيوية وليس لتثبيتها في الوقت المناسب، وهذا هو دعوة للقراصنة. قراصنة رصد تقارير عن نقاط ضعف جديدة وتعتمد على حقيقة أن المسؤول لن يتم تثبيت بقع على الفور.

ويقال في الواقع، العديد من الخارقة تحدث فقط في غضون الفترة الزمنية في ما بين الضعف وأيضا المشرف على تثبيت التصحيح. هذا هو السبب في أنه من الضروري لتثبيت بقع سريعة ويدويا. التثبيت التلقائي هو أبسط ولكن غير عادي كما أنه قد يبدو، فإنه يمكن أن يجعل الأمور أكثر سوءا - أي كسر CMS الخاص بك. لديك لتثبيت بقع يدويا، لضمان أن كنت أدرك تماما ما تم تثبيتها.

4. PHP register_globals على

إذا هو مكتوب في PHP CMS الخاص بك، وكذلك كنت تستخدم PHP 5 أو في وقت سابق، 1 عامل أكثر من ذلك بكثير يجب التحقق الصحيح بعيدا لو register_globals غير. إذا register_globals غير، تحتاج إلى إيقاف تشغيله على الفور لأنه ببساطة عندما يحين يوم، وسوف تجد الملايين من الأساليب التي يمكن أن يساء استخدام هذا الإختراق موقع الويب الخاص بك. لCMS العديد من هذا المتغير هو افتراضيا إيقاف ولكن لا يمكنك الاعتماد على ذلك - يجب التحقق يدويا.

في حالة غير شائعة كلما كان لديك المحمول أو وظيفة أخرى لا يمكن أن تعمل عندما register_globals هو خارج، هو عدم التفكير ما لإكمال - القضاء على مجرد هذه الإضافات / وظيفة لأنه ببساطة هذا هو اقل بكثير من التضحية من وجود register_globals على.

5. غير آمنة استضافة مواقع انترنت

غير آمنة استضافة الإنترنت هي من بين أفضل خطر على أمن CMS واحد. نقاط الضعف في إطار برنامج التشغيل، وكذلك برنامج البرامج الأخرى التي تم تركيبها في مضيف الإنترنت لديك هي أيضا من بين الأهداف المفضلة للقراصنة، وكذلك أسوأ هو حقيقة أنه إذا كان المضيف الإنترنت غير آمنة، وليس هناك الكثير لكم والمسير من يمكن CMS المرء القيام به لمواجهة ذلك. لا يمكنك إصلاح الثقوب في أمن واحد لاستضافة مواقع انترنت ومزود أيضا هو العامل الوحيد الذي كنت قادرا على القيام به هو الهروب إلى مضيف الانترنت أفضل بكثير.

6. امتيازات المستخدم سخي

وسوف تجد بالكاد المسؤولين (في أفكارهم الصحيحة)، والذي سيعطي امتيازات المسؤول إلى المستخدمين العاديين ولكن ليست هناك أن اثنين من المسؤولين، الذين كنت سخي حقا عندما يتعلق الأمر امتيازات المستخدم. وبين المبادئ التوجيهية الأمنية الأكثر أهمية أن تكون قاعدة الامتيازات الأقل - أي منح المستخدمين الوصول إلى هذه العناصر فقط من الموقع لديهم حقا لدينا لتكون قادرة على القيام بعملهم. من بين المخاطر من امتيازات المستخدم السخي هو حقيقة أنه يمكن الاستفادة من وثائق التفويض لاختراق داخلي، والتي ليست قضية أصغر من هجمات الإختراق الخارجي.

7. غير آمنة الإضافات

قد المتسللين لم تدخل عن طريق الباب الأمامي من CMS احد ولكن إذا كانت أبواب أخرى مفتوحة، وأنها لا تحتاج إلى الأبواب الخلفية (أي البرامج الضارة) للحصول على الوصول إلى موقع الويب الخاص بك. أي ما يقرب من CMS يعتمد على الإضافات لتقديم وظائف اضافية وسيكون هذا سحر CMS ببساطة لأن تحصل على تركيب قاعدة وأيضا أن يكون لديك حرية لاضافة وظائف فقط عليك ولكن هذه الحرية هي أيضا تهديدا أمنيا.

وكقاعدة عامة، يتم إنشاء الإضافات من قبل طرف ثالث وانها ليست واضحة إلى حد ما إذا كنت خضعت لاختبارات صارمة عليها. كثيرا جدا المحمول لديها ثغرات أمنية فيها، ونحن سعداء للقراصنة على تحقيق الاستفادة القصوى من أي ثغرات أمنية من هذا القبيل. أحكم كنت قادرا على القيام به هو القضاء على أي ملحقات مع المشاكل الأمنية المعترف بها. انه الكثير الكثير من الأفضل أن لا يكون لها وظائف محددة من وضع الأمن في موقع واحد بأكمله في خطر.

صخري Rasonable

وأقدم الفلبينية PHP مبرمج، مطور ويب ومشرفي ومقرها في دافاو، الفلبين. خبير في جملة، وورد، Soholaunch، سكوميرسي، دروبال، مواقع وسائل الاعلام الاجتماعية، وغيرها.

أكثر المشاركات - الموقع

وظيفة معلم 'استضافة'

7 اخطاء الادارية النموذجية في CMS

حصة

CMS (قصيرة لنظام إدارة المحتوى) وغالبا ما يكون قطعة شائعة جدا من البرامج لتشغيل بلوق، والمواقع الشخصية ومواقع الانترنت للشركات وأي أنواع أخرى من المواقع على شبكة الإنترنت عليك أن تكون قادرا على تصديق من. CMS هي واضحة بشكل معقول لاستخدام وهذا يمكن أن يكون هناك تفسير واحد حاسم لماذا هم هكذا أصبحت معروفة.

ومع ذلك، بسيطة للاستفادة من وتأمين ليست بالتأكيد مرادفات عندما نشعر بالقلق CMS. على الرغم من أن معظم في CMS الرائدة لن تتطلب منا جهدا كبيرا لجعلها آمنة تماما، يمكن أن يكون من غير المألوف أن نرى مع CMS من الحماية المناسبة. CMS مثل هدفا سهلا للقراصنة.

عندما يحصل اختراق CMS، عموما سبب لذلك هو ليس فقط أن CMS نفسها غير آمنة ولكن القراصنة استغلوا بعض الأخطاء الشائعة مشرف. قائمة من الأخطاء الفادحة مشرف طويلة جدا ولكن ليس من المستغرب، وعدد منها على الارجح الاكثر انتشارا وعادة ما يكون رقم واحد. وهنا بعض من هذه الأخطاء سوف تحتاج إلى معرفة وأبدا أن تفعل داخل CMS لك إدارة:

كلمات السر الافتراضية 1.

وحيد في الأشياء 1 المتسللين عندما فحص انهم يخططون لمهاجمة هو "كلمة السر سهلة". كلمات السر الافتراضية (أي كلمات السر التي تأتي جنبا إلى جنب مع الإعداد) هي واضحة لتحديد موقع. انها حقا صحيح أن العديد من CMS لا تأتي أبدا وجود كلمة المرور الافتراضية أو حتى لو كانت تفعل، مجموعة تصل الإجراء سيجعل تغيير كلمة المرور قبل أنه من الممكن استخدام التطبيق ولكن في حالة CMS الخاص بك يأتي مع كلمة السر الافتراضية، تأكد الذي تغير هو. أيضا، تأكد من أنه يمكنك تعديل مجرد كلمة السر لقاعدة البيانات أيضا منذ قاعدة البيانات هو أيضا هدفا للقراصنة.

2. كلمات مرور فارغة

بالإضافة إلى كلمات السر الافتراضية، وكلمات السر النظيفة هي آخر مدراء خطأ شائع جعل (إذا كان CMS تمكنهم منذ لحسن الحظ هناك الكثير من الأنواع المهاجرة لا تجعل من الممكن لكلمات المرور النظيفة). ليست هناك حاجة لتذكر كلمات السر كيف النظيفة هي محفوفة بالمخاطر - يدعون من دون التخمين على الإطلاق، والقرصنة نظام الإدارة الوظيفية وجود كلمة مرور فارغة هو مجرد قطعة من الكعكة للمبتدئين. كل ما يتطلبه الأمر هو لتخمين اسم المستخدم - إذا كان اسم المستخدم هو "المسؤول"، "المسؤول" أو بعض شيء مشابه، ثم كسر في CMS لديك بضع ثوان.

كما هو الحال مع كلمات السر الافتراضية، والخطر هو أعلى عندما يتأثر حساب المسؤول ولكن لا يوجد سبب للسماح للغير المشرف للعملاء، الذين يمكنهم الوصول إلى قاعدة البيانات لديك كلمات مرور فارغة. هذا هو حقا لماذا يكون من المنطقي فرض قواعد صارمة لكلمات المرور للجميع.

3. وضع لا بقع في

انها حقا صحيح أن تثبيت عشرات من بقع يوم ممل ولكن عندما لا احترس من (على الأقل) والتحديثات الهامة وليس لاقامة لهم في الوقت المناسب، وهذا هو دعوة للقراصنة. قراصنة رصد تقارير عن نقاط ضعف جديدة وتعتمد على حقيقة أن المسؤول لن يتم تثبيت بقع بسرعة.

ويقال في الواقع، والخارقة عدة تحدث فقط خلال الفترة الزمنية بين الضعف وكذلك المشرف على تثبيت التصحيح. هذا هو حقا لماذا لا يمكن أن تكون حاسمة لإعداد البقع بسرعة ويدويا. التلقائي المحددة لها أبسط ولكن أمرا غريبا كما قد يبدو، قد يجعل القضايا أسوأ - أي كسر CMS الخاص بك. سوف لا تحتاج إلى إعداد البقع يدويا، بحيث كنت تعرف بالضبط ما تم تثبيتها.

4. register_globals في PHP

إذا هو مكتوب في PHP CMS الخاص بك، وكذلك كنت تستخدم PHP 5 أو في وقت سابق، شيء واحد أكثر بكثير تحتاج إلى التحقق على الفور لو register_globals غير. إذا register_globals على ذلك، سوف تحتاج إلى إيقاف تشغيله على الفور يرجع ذلك إلى حقيقة بينما هو في الحقيقة على، وستجد الملايين من الأساليب التي يمكن أن يساء استخدام هذا الإختراق موقع الويب الخاص بك. لCMS عدد غير قليل من هذا المتغير هو افتراضيا إيقاف ولكن لا يمكنك الاعتماد على ذلك - أنت تريد أن تحقق من ذلك يدويا.

من الحالات النادرة عندما يكون لديك الإضافات أو وظيفة أخرى يمكن أن لا تعمل عندما register_globals هو خارج، انها حقا عدم التفكير ما لإكمال - مجرد الحصول على التخلص من هذه الإضافات / وظائف لأن هذا هو أقل من تضحية من وجود register_globals على .

5. الانترنت غير آمن استضافة

انعدام الأمن واستضافة المواقع هو واحد مع أكبر خطر على أمن CMS الخاص بك. نقاط الضعف داخل نظام التشغيل، وكذلك غيرها من البرامج التي يتم تثبيتها على المضيف الخاص بك كلمة ويب هي أيضا من بين الأهداف المفضلة من المتسللين بالإضافة إلى أسوأ هو أنه إذا كان المضيف كلمة ويب غير آمنة، ليس هناك الكثير لكم والمسير يمكن CMS من احد القيام به لمواجهة ذلك. لا يمكنك إصلاح الثقوب في أمن مزود صافي المرء استضافة، فضلا عن القضية الوحيدة التي قد فعله هو الهروب لاستضافة صافي أفضل بكثير.

6. امتيازات الشخص السخي

ستجد بالكاد المسؤولين (في رأيهم الصحيح)، الذي يعطي امتيازات المسؤول إلى المستخدمين العاديين ولكن ليست هناك أن المسؤولين قليلة، والذين هم سخي حقا عندما يتعلق الأمر امتيازات المستخدم. يمكن للمرء خاصة من المبادئ التوجيهية الأمنية ربما الأكثر أهمية أن تكون قاعدة الامتيازات الأقل - أي منح العملاء فقط الوصول إلى تلك الأجزاء من موقع الإنترنت الخاص بك يحتاجون حقا إلى أن يكون لدينا من أجل استكمال وظائفهم. وحيد للمخاطر من الامتيازات الشخص السخي هو أنه يمكن الاستفادة من وثائق التفويض لتقطيع الداخلية، التي لن تكون أصغر من قضية هجمات الإختراق الخارجي.

7. الإضافات غير آمن

قد المتسللين كذلك لا يدخل عبر الباب الأمامي ضمن CMS الخاص بك ولكن عندما أبواب أخرى مفتوحة، فإنها لا تحتاج إلى الأبواب الخلفية (أي البرامج الضارة) للدخول إلى صفحة الويب الخاصة بك. عمليا أي CMS يعتمد على الإضافات إلى توفر مزايا إضافية، وهذا يمكن أن يكون سحر CMS يرجع ذلك إلى حقيقة تحصل على قاعدة اقامة وأيضا أن يكون لديك حرية لإضافة فقط الميزات التي سوف تحتاج ولكن هذه الحرية هي أيضا خطرا على الأمن .

وكقاعدة عامة، يتم وضع الإضافات بواسطة طرف ثالث وليس من الواضح تماما إذا كنت خضعت لاختبارات صارمة عليها. وعادة ما لا يصدق الإضافات بها ثقوب السلامة فيها، والمتسللين سعداء للاستفادة من أي ثغرات أمنية من هذا القبيل. أحكم من الممكن القيام به هو إزالة أي ملحقات مع قضايا حماية معروف. هو حقا أكبر بكثير ليس لامتلاك سمات محددة من وضع سلامة من موقع واحد وكلها في خطر.