Udgivet: 02 april de 2012
Tags: CMS , iPad , iPhone , iPhone Programmering Tutorial , PHP , Programmering , web services , world wide web CMS (kort for Content materiale Management System) er virkelig en særdeles vellidt stykke software program til drift af blogs, private steder, corporate sites og andre former for websteder, du er i stand til at tro på. CMS er forholdsvis enkelt at gøre brug af og det er 1 afgørende årsag til, at de blev så vellidt.
Ikke desto mindre, enkelt at gøre brug af og sikre er bestemt ikke synonymer, når CMS er bekymrede. Selv om de fleste af de øverste CMS ikke behøver en stor indsats for at skabe dem ekstremt sikker, er det ikke usædvanligt at afgøre CMS med den korrekte sikkerhed. Sådanne CMS er simple mål for hackere.
Når en CMS bliver hacket, generelt årsag til dette er ikke, at CMS i sig selv er usikker, men at hackere tog fordel af nogle typiske admin fejl. Listen over admin fejl er temmelig lang, men ikke overraskende, at mange formentlig de mest typiske dem er virkelig et enkelt ciffer. Her er et par af disse fejl, du behøver at vide og på ingen måde ikke i CMS du administrere:
1. Standard adgangskoder
Blandt de oprindelige andet hackere verificere, når de strategi til at angribe er "let kodeord". Standard adgangskoder (dvs. de adgangskoder, der kommer kollektivt ved hjælp af installation), er enkel at opsøge. Det er præcis, at mange CMS ikke omfatter en standard adgangskode, eller selv hvis de gør, vil installationsprocessen gør du ændrer din adgangskode før du er i stand til at bruge det program, men hvis dit CMS kommer med et standard password, skal du sørge for at ændre det. Sørg også for, at du ændrer adgangskoden til databasen også bare fordi databasen er også et mål for hackere.
2. Blanke adgangskoder
Udover standard passwords, tomme adgangskoder er yderligere typiske fejltagelse Admins gøre (hvis CMS giver dem simpelthen fordi heldigvis mange CMS ikke tillader tomme adgangskoder). Det er ikke nødvendigt at oplyse, hvordan risikable blanke adgangskoder er - de behøver ikke at gætte på alle og hacking et CMS at have en tom adgangskode er blot et stykke kage til en nybegynder. Alt det kræver er at gætte brugernavn - hvis brugernavnet er "admin", "administrator" eller nogle ting kan sammenlignes, og derefter bryde ind i dit CMS er virkelig et spørgsmål om sekunder.
Som med standard passwords, er truslen større, når admin konto er berørt, men der er ingen grund til at tillade ikke-admin brugere, der har adgang til databasen for at have tomme adgangskoder. Derfor er det fornuftigt at tvinge strenge retningslinjer for adgangskoder til alle.
3. Ingen patches installeret
Det er præcis, at du installerer dusinvis af patches hver dag er kedeligt, men i tilfælde af du ikke passe på (minimum) de vitale opdateringer og ikke installerer dem i tide, det er en invitation til hackere. Hackere overvåge rapporter om nye sårbarheder og afhænger af den virkelighed, at administratoren ikke vil installere de patches med det samme.
Faktisk, mange hacks forekomme lige inden for den frist på mellem en sårbarhed er rapporteret og ligeledes admin installerer patch. Derfor er det er vigtigt at installere patches hurtig og manuelt. Automatisk installation er enklere, men så usædvanligt, fordi det kan lyde, det kan gøre tingene værre - det vil sige bryde dit CMS. Du behøver at installere patches manuelt, for at sikre, at du indser, præcis hvad, der er blevet installeret.
4. PHP register_globals på
Hvis dit CMS er skrevet i PHP, og også du udnytter PHP fem eller tidligere, 1 langt mere faktor, bør du kontrollere korrekte væk, er, hvis register_globals er slået til. Hvis register_globals er på, skal du slukke for den øjeblikkeligt simpelthen fordi, når den er tændt, vil du finde millioner af metoder, hvor dette kunne misbruges til at hacke din hjemmeside. For mange CMS denne variabel er som standard slukket, men du kan ikke afhænge af, at - du skal kontrollere det manuelt.
Inden for den usædvanlige situation, når du har plugins eller anden funktionalitet, der ikke kan fungere, når register_globals er slukket, er det en no brainer, hvad de skal udfylde - bare fjerne disse plugins / funktionalitet, blot fordi det er meget mindre af et offer end at have register_globals på.
5. Usikkert internet hosting
Usikkert internet hosting er blandt de bedste fare for sikkerheden i en CMS. Sårbarheder i driftsprogrammet og også det andet program, der er installeret i din internet-vært er også blandt de foretrukne mål for hackere, og også det værste er, at hvis din internet-vært er usikker, er der ikke meget, du som administrator af en CMS kan gøre for at modvirke det. Du kan ikke rette hullerne i sikkerheden af ens internet hosting udbyder, og også den eneste faktor, du er i stand til at gøre, er at flygte til en langt bedre internet vært.
6. Generøse brugerrettigheder
Du finder næppe nogen Admins (i deres korrekte tanker), som vil give administratorrettigheder til almindelige brugere, men der er ikke, at par af admins, der er ude i sandhed rundhåndet, når man bruger privilegier er berørt. Blandt de væsentligste sikkerhedsmæssige retningslinjer vil være den mindst privilegium reglen - dvs give brugerne kun adgang til disse dele af hjemmesiden, de virkelig have for at kunne udføre deres job. Blandt risikoen for generøse brugerrettigheder er, at de legitimationsoplysninger kunne anvendes til intern hacking, som isn'ta mindre problem end eksterne hack angreb.
7. Usikre plugin
Hackere kan ikke komme ind via hoveddøren af en CMS, men hvis de andre døre er åbne, de ikke kræver bagdøre (dvs. malware) til at få adgang til din hjemmeside. Næsten alle CMS afhængig af plugins til at tilbyde ekstra funktionalitet, og dette vil være den charme af CMS, blot fordi du får en base installation og har du også frihed til at tilføje kun den funktionalitet, du skal bruge, men denne frihed er også en sikkerhedstrussel.
Som regel er plugins skabt af tredjeparter, og det er ikke ret klart, om de strengt er testet. Ekstremt ofte plugin har sikkerhedshuller i dem, og hackere er glade for at få mest muligt ud af sådanne sikkerhedshuller. Det klogeste du er i stand til at gøre, er at fjerne alle plugins med anerkendte sikringsorganisationer problemer. Det er en meget meget bedre ikke at have en bestemt funktionalitet end at sætte sikkerheden i hele ens hjemmeside trussel.
En filippinsk Senior PHP programmør, Webudvikler og Webmaster baseret i Davao, Filippinerne. Ekspert i Joomla, WordPress, Soholaunch, Oscommerce, Drupal, sociale medier, og osv.
Flere indlæg - Website
Mobile websteder uundgåeligt virker bedre end deres fuld-site kolleger på smartphones, fordi de er skræddersyet til små enheder. "One size fits all", er aldrig den bedste løsning. Når det er sagt, mobile websteder er ikke altid "bedre" end alle websteder på mobile enheder. Fordi de steder er designet til nem søgning på telefoner, de tager hensyn til de begrænsninger af disse enheder og tilbyder en begrænset erfaring som resultat. Mobil site navigation, for eksempel, vil ikke altid være tilgængelig som almindelig navigation, da der ikke er nok plads på skærmen til at holde det synligt på alle tidspunkter. 
