7 Errores típicos de administrador en el CMS
Publicado: 06 de febrero 2011Tags: CMS , Content Management System de material , la piratería interna , alojamiento internet , programas maliciosos , PHP , plugins , web hosting
CMS (Sistema de Información para los de gestión de contenidos de material) es realmente una pieza muy muy querido del programa de software para blogs, sitios de explotación privadas, sitios corporativos y cualquier otro tipo de sitios que son capaces de creer de. CMS son bastante simples de hacer uso de y esto es una causa esencial por la que se convirtió en tan popular.
Sin embargo, fácil de utilizar y asegurar definitivamente no son sinónimos cuando se trate de la CMS. Aunque la mayoría de la parte superior de la CMS no es necesario un esfuerzo mucho para crear extremadamente seguro, no es inusual para determinar la CMS con el de seguridad correcta. Tal CMS son objetivos sencillos para los piratas informáticos.
Cuando un CMS es atacada, por lo general la causa de esto no es que el CMS es inseguro, pero que los hackers tomaron ventaja de algunos errores típicos de administrador. La lista de errores de administrador es bastante largo, pero no es de extrañar, probablemente la variedad de los más típicos es en realidad un solo dígito. Éstos son algunos de los errores que usted necesita saber y de ninguna manera dentro de la CMS no se va a administrar:
1. Contraseñas por defecto
Entre las cosas que los hackers iniciales comprobar una vez que la estrategia para atacar es que "las contraseñas fáciles". Contraseñas por defecto (es decir, las contraseñas que vienen en conjunto con la instalación) son fáciles de buscar. Es preciso que numerosos CMS no incluyen una contraseña por defecto, o incluso si lo hacen, el proceso de instalación le hará cambiar su contraseña antes de que usted es capaz de utilizar el programa de software, pero si su CMS viene con una contraseña predeterminada, asegúrese de que usted alterarlo. Además, asegúrese de que modificar la contraseña de la base de datos también, simplemente porque la base de datos es también un objetivo para los piratas informáticos.
2. Las contraseñas en blanco
Adicionalmente a las contraseñas por defecto, las contraseñas en blanco son una administradores adicionales típicos error que comete (si el CMS les permite simplemente porque afortunadamente numerosos CMS no permiten contraseñas en blanco). No es indispensable precisar la forma de riesgo son las contraseñas en blanco - no tienen necesidad de adivinar en absoluto y la piratería de un CMS que tiene una contraseña en blanco no es más que un pedazo de pastel para un principiante. Todo lo que se requiere sería de adivinar el nombre de usuario - si el nombre de usuario es "admin", "administrador" o algo similar, a continuación, irrumpan en el CMS es realmente una cuestión de segundos.
Al igual que con las contraseñas por defecto, la amenaza es mayor cuando la cuenta de administrador se ve afectada, pero no hay motivo para permitir que los usuarios no administradores, que han de acceso hacia la base de datos para tener contraseñas en blanco. Esto es por qué tiene sentido obligar a pautas estrictas para las contraseñas de todo el mundo.
3. No hay parches instalados
Es preciso que la instalación de decenas de parches cada día es aburrido, pero en el caso de que no tener en cuenta (un mínimo de) los cambios vitales y no los instalan de manera oportuna, esto es una invitación a los piratas informáticos. Los piratas informáticos controlar los informes de las nuevas vulnerabilidades y dependen de la realidad de que el administrador no instalar los parches inmediatamente.
En realidad, muchos hacks ocurrir justo en el período de tiempo entre una vulnerabilidad se informó y también el administrador instala el parche. Por esta razón, es imprescindible instalar los parches de forma rápida y manual. Instalación automática es más simple, pero inusual, ya que debido a que pueda sonar, podría empeorar las cosas - es decir, romper tu CMS. Usted tiene que instalar los parches de forma manual, para asegurarse de que te des cuenta, precisamente, lo que se ha instalado.
4. PHP register_globals en
Si el CMS está escrito en PHP y también se están utilizando PHP cinco años o menos, un factor mucho más que usted debe verificar el correcto distancia es si register_globals está activado. Si register_globals está activado, es necesario apagarlo al instante, simplemente porque cuando está encendido, se encuentra a millones de los métodos en que esto podría ser mal utilizada para hackear tu sitio web. Para numerosos CMS esta variable es, por defecto fuera, pero que no puede depender de que - usted debe comprobar manualmente.
Dentro de la situación poco común cada vez que tenga los plugins o cualquier otra funcionalidad que no puede funcionar cuando register_globals está desactivado, es un pan comido para completar lo que - sólo eliminar estos plugins y funcionalidades, simplemente porque esto es mucho menos de un sacrificio de tener register_globals on.
5. Inseguro alojamiento internet
Inseguro de alojamiento de Internet es uno de los mejores peligro para la seguridad de la propia CMS. Vulnerabilidades en el programa operativo, así como el programa de software que está instalado en su servidor de Internet también se encuentran entre los objetivos preferidos de los hackers y también lo peor es el hecho de que si el host de Internet es inseguro, no hay mucho que usted como administrador de la uno de los CMS pueden hacer para contrarrestarla. No se puede arreglar los agujeros en la seguridad de un proveedor de hosting de Internet y también el único factor que son capaces de hacer es escapar a un host de Internet mucho mejor.
6. Generosos privilegios de usuario
Va a encontrar apenas los administradores (en sus pensamientos correctos), que dará privilegios de administrador a usuarios normales, pero no hay que par de administradores, que está verdaderamente generoso cuando los privilegios de usuario se refiere. Entre los lineamientos de seguridad más importantes será la regla privilegio mínimo - es decir, dar a los usuarios el acceso sólo a estos componentes de la página web que realmente tiene que tener para poder hacer su trabajo. Entre los riesgos de los privilegios del usuario gratuidad, es el hecho de que las credenciales podrían ser utilizados para la piratería informática interna, que no es un pequeño problema de que los ataques de hackers externos.
7. Plugins inseguros
Los hackers no pueden entrar a través de la puerta principal de la propia CMS, pero si las demás puertas están abiertas, que no requieren de puertas traseras (es decir, el malware) para adquirir el acceso a su sitio web. Casi cualquier CMS se basa en plugins para ofrecer una funcionalidad adicional y este será el encanto de la CMS, simplemente porque se obtiene una base de instalación y también tienes la libertad de añadir sólo la funcionalidad que necesita, pero esta libertad es también una amenaza a la seguridad.
Por regla general, los plugins son creados por terceros y no es bastante claro si están rigurosamente probados. Muy a menudo los plugins tienen agujeros de seguridad en ellos y los hackers se complace en aprovechar al máximo todos los agujeros de seguridad de este tipo. Los más sabios que son capaces de hacer es eliminar los plugins con los problemas de seguridad reconocidas. Es mucho más no es mucho mejor tener una funcionalidad específica que poner la seguridad de un sitio web entero en peligro.
