7 Typické admin Chyby v CMS
Publikováno: 06. úno 2011Tagy: CMS , Content Management System materiál , vnitřní hacking , internet hosting , malware , PHP , pluginy , web hosting
CMS (Content Management Stručný pro materiálu System) je opravdu extrémně dobře-liked kus počítačového programu pro provoz blogů, soukromé stránky, firemní stránky a jiné druhy stránek, které jsou schopni věřit v CMS jsou docela jednoduché využít a to je zásadní příčinou 1, proč se stal se tak líbila.
Nicméně, jednoduchá využít a zajistit rozhodně nejsou synonyma pokud se jedná o CMS. Ačkoli většina z top CMS nepotřebují hodně úsilí o vytvoření je extrémně bezpečný, to není neobvyklé pro určení CMS se z správné zabezpečení. CMS jako jsou jednoduché cíle pro hackery.
Když se dostane hacknutý CMS, obecně příčinou není to, že redakční systém sám o sobě je nejistý, ale že hackeři se přínos některých typických admin chyb. Seznam admin chyb je poměrně zdlouhavý, ale není divu, že řada pravděpodobně nejtypičtější těch je opravdu jediná číslice. Zde jsou některé z těchto chyb, které potřebujete vědět, a v žádném případě se v rámci CMS můžete spravovat
1. Výchozí hesla
Mezi prvních věcí, hackeři ověření poté, co strategii útoku je pro "snadné" hesel. Výchozí heslo (tj. heslo, které přicházejí společně pomocí instalace) jsou jednoduché hledat. To je přesné, že četné CMS nezahrnují výchozí heslo nebo i když to bude instalační proces aby si změnit heslo před budete moci využívat softwarový program, ale pokud vaše CMS přichází s výchozí heslo, ujistěte se, že jste měnit. Také se ujistěte, že jste změnil heslo pro databázi také jednoduše proto, že databáze je také cílem pro hackery.
2. Prázdné hesla
Navíc do výchozího hesla, hesla jsou prázdné dalších Klasickou chybou admini provést (pokud CMS jim umožňuje jednoduše proto, že naštěstí mnoho CMS neumožňují prázdné hesla). Není to nezbytné, aby jak riskantní prázdné hesla jsou - musí bez hádání vůbec a hackování CMS má prázdné heslo je jen hračka pro začátečníka. Vše, co to vyžaduje, by bylo myslet si uživatelské jméno - je-li uživatelské jméno je "admin", "správce" nebo nějakou věc, srovnatelné, pak vloupání do vašeho CMS je opravdu otázkou několika sekund.
Stejně jako u standardních hesel, hrozba je větší, když je ovlivněn admin účet, ale není důvod povolit non-admin uživatele, kteří si přístup k databázi má prázdné heslo. To je důvod, proč má smysl nutit přísná pravidla pro hesla pro každého.
3. Žádné záplaty nainstalovány
To je přesné, že instalace desítky záplat každý den je nuda, ale v případě nemusíte dávat pozor na (minimálně) životně důležité aktualizace a neinstalovat je včas, to je výzva pro hackery. Hackeři sledovat zprávy pro nová slabá místa a závisí na skutečnosti, že správce nebude instalovat záplaty okamžitě.
Ve skutečnosti, mnoho hacků vyskytují jen v časovém období v letech zranitelnosti je hlášena a také správce nainstaluje opravu. To je důvod, proč je důležité instalovat opravy rychle a ručně. Automatická instalace je jednodušší, ale jako neobvyklé, protože to může znít, mohla by to být ještě horší věci - tj. zlomit CMS. Máte nainstalovat záplaty ručně, aby zajistily, že si uvědomíte, přesně to, co byl nainstalován.
4. PHP register_globals na
Pokud váš CMS je napsán v PHP a také užíváte PHP pět nebo dříve, 1 mnohem více faktorů, měli byste ověřit správné vzdálenosti je, pokud je na register_globals. Pokud register_globals je zapnutý, je nutné ho vypnout okamžitě jednoduše proto, že když je to tak, najdete miliony metod, ve kterých by to mohlo být zneužity k zaseknout své webové stránky. U mnoha CMS tato proměnná je ve výchozím nastavení vypnuto ale nemůže záviset na tom - měli byste ověřit ručně.
V neobvyklé situaci, kdykoli budete mít pluginy nebo jiné funkce, které nemůže fungovat, když register_globals je vypnuto, je to ne přemýšlet, co pro dokončení - stačí odstranit tyto pluginy / funkčnost prostě proto, že je to mnohem méně obětí, než mít na register_globals.
5. Nejisté internet hosting
Nejisté internet hosting patří mezi nejlepší nebezpečí pro bezpečnost něčí CMS. Slabá místa v rámci operačního programu a také jiným softwarovým programem, který je nainstalován ve vašem internetovém hostiteli jsou také mezi prioritní cíle hackerů a také nejhorší je skutečnost, že pokud váš internetový hostitel je nejistá, není hodně, co jako admin něčí CMS dokáže neutralizovat to. Nemůžete opravit díry v bezpečnosti některé internetové poskytovatele hostingu a také jediným faktorem, jste schopni udělat, je útěk do mnohem lepší internetového hostitele.
6. Velkorysé uživatelská oprávnění
Najdete zde téměř žádné Admins (v jejich správných myšlenek), který Vám umožní admin oprávnění pro běžné uživatele, ale tam nejsou, že pár adminů, kteří to skutečně velkorysý, když se jedná o uživatelská oprávnění. Mezi nejvýznamnější bezpečnostních směrnic bude alespoň oprávnění pravidlo - tj. poskytnout uživatelům přístup pouze na tyto složky webové stránky, které opravdu muset být schopen dělat svou práci. Mezi rizika velkorysé uživatelských oprávnění je skutečnost, že pověření by mohly být využity pro interní hacking, což není žádný problém menší než externí hack útoků.
7. Nebezpečné pluginy
Hackeři nesmí vstoupit přes přední dveře něčí CMS, ale pokud se ostatní dveře jsou otevřené, nevyžadují zadní vrátka (tj. malware), získat přístup na vaše webové stránky. Téměř každý CMS spoléhá na pluginy nabízet další funkce a to bude kouzlo CMS jednoduše proto, že vám základní instalaci a také můžete svobodně přidat pouze funkce, které budete potřebovat, ale tato svoboda je také bezpečnostní hrozbu.
Zpravidla jsou pluginy vytvořené třetími stranami, a to není docela jasné, zda oni jsou přísně testovány. Velmi často pluginy mají bezpečnostní díry v nich a hackeři jsou rádi, aby co nejvíce o těchto bezpečnostních děr. Nejmoudřejší jste schopni udělat, je odstranit všechny pluginy s uznávanými bezpečnostními problémy. Je to mnohem mnohem lepší, mít zvláštní funkci, než umístit bezpečnost něčí celé webové stránky v ohrožení.
