Posts Tagged 'dodataka'

7 Tipični Admin Pogreške u CMS

Objavljeno: Feb 06, 2011
Tags: , , , , , , ,

CMS (Content Kratka za sustav upravljanja materijala) je zaista iznimno dobro svidio dio softverskog programa za djeluju blogova, privatne stranice, korporativne web stranice i bilo koje druge vrste web lokacija koje su u mogućnosti da vjeruju u. CMS-a su prilično jednostavan za koristiti i to je jedan bitan razlog zašto su postali tako dobro svidio.

Ipak, jednostavno iskoristiti i osigurati definitivno nisu sinonimi CMS kada su u pitanju. Iako je većina od najboljih CMS-a ne treba puno truda da stvori ih iznimno sigurna, nije neobično kako bi se utvrdilo CMS sa vanjska strana pravilan sigurnosti. Takva su jednostavni CMS meta za hakere.

Kada je CMS dobiva sjeckan, uglavnom uzrok za to je da nije CMS sama po sebi je nesiguran, ali da hakeri su korist od neke tipične pogreške admin. Popis admin pogrešaka je prilično dugo, ali ne i iznenađujuće, razne vjerojatno najtipičnijih one stvarno jednu znamenku. Ovdje su neke od tih pogrešaka koje trebate znati i nipošto ne unutar CMS-a možete primijeniti:

1. Default lozinke


Među prvim stvarima hakeri provjeriti kada su strategija za napad je za "Easy lozinke". Default lozinke (npr. lozinke koje dolaze zajedno koristeći instalacije) su jednostavni za tražiti. To je točno da su brojni CMS ne uključuju propust lozinka ili čak ako oni to, postupak instalacije će vam promijeniti svoju lozinku prije nego što ste u mogućnosti koristiti softver, ali ako vaš CMS riječ ima zadanu lozinku, budite sigurni da ćete ga mijenjati. Također, budite sigurni da ste promijeniti lozinku za bazu podataka i jednostavno zato što je baza podataka je također na meti hakera.

2. Prazne lozinke

Osim toga na zadane lozinki, lozinke su prazni dodatnih tipična pogreška admini napraviti (ako je CMS im omogućava da jednostavno zato zahvalno brojne CMS ne dopuštaju prazne lozinke). To nije neophodno navesti kako rizičnim prazni lozinke - oni ne treba nagađanje na sve i sjeckanje CMS vlasništvo praznu lozinku je samo komad torte za početnike. Sve to zahtijeva da bi se pogoditi ime - ako ime je "admin", "administrator" ili neka stvar usporediva, onda provali u CMS-a je stvarno stvar sekundi.

Kao i kod zadane zaporke, prijetnja je veće kada admin račun je pod utjecajem, ali ne postoji razlog da se omogući non-admin korisnika, koji ste pristup prema bazi podataka imati prazne lozinke. To je razlog zašto ima smisla na snagu stroge smjernice za lozinki za sve.

3. Nema zakrpe instalirane

To je točno da je instalacija zakrpa na desetke svaki dan je dosadno, ali u slučaju da ne paziti na (najmanje) vitalni obnove i ne instalirati ih na vrijeme, to je poziv na hakera. Hakeri pratiti izvješća za nove ranjivosti i ovise o stvarnosti koju administrator neće instalirati zakrpe odmah.

Zapravo, brojni hack dogoditi samo u vremenskom razdoblju između ranjivosti je izvijestio i admin instalira patch. To je razlog zašto je to bitno za instalaciju zakrpe brzo i ručno. Automatska instalacija je jednostavnija nego kao neobično, jer je svibanj zvuk, to bi moglo pogoršati stvari - odnosno slomiti CMS. Vi ne morate instalirati zakrpe ručno, kako bi se osiguralo da shvatite upravo ono što je instaliran.

4. PHP register_globals na

Ako je vaš CMS je napisan u PHP-u, a također ste koristeći PHP pet ili ranije, 1 mnogo više faktora trebali biste provjeriti točno udaljen je register_globals, ako je uključen. Ako je register_globals, trebate ga isključiti odmah jednostavno jer kad je na, naći ćete milijune načina na koji bi to mogao biti zloupotrebljena hack vaše web stranice. Za brojne CMS ta varijabla je po defaultu isključen, ali ne može ovisiti o tome - što treba potvrditi ručno.

U neobičan situaciji kad god imate dodataka ili druge funkcije koje ne mogu funkcionirati kada je register_globals off, to je ne brainer što dovršite - samo eliminirati ove plugins / funkcionalnost jednostavno zato što je puno manje žrtve nego što register_globals na.

5. Nesigurno internet hosting

Nesigurno internet hosting je među najbolje opasnosti za sigurnost vlastitog CMS-a. Ranjivosti unutar operativnog programa a također i drugi softver program koji je instaliran na vašem internet domaćina su također među željene meta hakera i najgore je činjenica da, ako vaše internet domaćin je nesigurno, ne postoji puno toga što kao admin od nečije CMS možete učiniti kako bi ga neutralizirali. Ne možete popraviti rupe u sigurnosti vlastitog Internet hosting usluga i jedini faktor možete učiniti je pobjeći u mnogo boljoj internet domaćina.

6. Velikodušni korisnika povlastice

Naći ćete gotovo ni administratori (u svojim ispravnim mislima), koji će dati administratorske ovlasti na obične korisnike, ali ne postoje da par admina, koji si uistinu velikodušni kada korisnik povlastice su u pitanju. Među najznačajnijim sigurnosnim smjernicama će biti barem pravilo privilegija - tj. daju korisnicima pristup samo tih komponenti na web stranici Oni su uistinu morati biti u stanju obavljati svoj posao. Među rizicima velikodušnim korisničkim privilegijama je činjenica da je vjerodajnice bi se moglo iskoristiti za unutarnju sjeckanje, koji isn'ta manji problem od vanjskih napada hack.

7. Nesigurno dodataka

Hakeri ne mogu ući preko ulaznih vrata nečijeg HMD-a, ali ako ostali su vrata otvorena, oni ne zahtijevaju backdoors (tj. zlonamjernih programa) steći pristup vaše web stranice. Gotovo bilo CMS oslanja na dodatke za ponuditi dodatnu funkcionalnost i to će biti šarm CMS jednostavno zato što ste dobili osnovnu instalaciju i imate slobodu da dodate samo funkcionalnost morat ćete, ali to je sloboda i sigurnost prijetnja.

U pravilu, dodaci su stvorili trećim stranama, a to nije dosta jasno ako ste rigorozno testirani. Vrlo često dodaci imaju sigurnosne rupe u njima i hakeri su zadovoljni da se većina takvih sigurnosnih rupa. Najmudriji ste u mogućnosti učiniti je ukloniti sve dodatke s priznatih sigurnosnih problema. To je puno puno bolje ne imati određenu funkcionalnost nego staviti sigurnost nečije cijele web stranice na prijetnju.

Rocky Rasonable

Filipino Senior PHP programer, web developer i Webmaster sa sjedištem u Davao, Filipini. Stručnjak u Joomla, WordPress, Soholaunch i osCommerce, Drupal, društvenih medija sučelja i sl.

More Posts - Web stranica

 

Posts Tagged 'dodataka'

7 Tipični Admin Pogreške u CMS

Objavljeno: Feb 06, 2011
Tags: , , , , , , ,

CMS (kratica za Content Management System) je često vrlo čest komad softvera za pokretanje blogova, osobnih stranice, korporativne internet stranice i bilo koje druge vrste internet stranice ćete biti u mogućnosti da vjeruju u. CMS su prilično jednostavan za korištenje, a to može biti jedan presudno objašnjenje zašto su postali toliko poznati.

Ipak, jednostavno iskoristiti i osigurati definitivno nisu sinonimi CMS kada su u pitanju. Iako je većina u vodećim CMS neće zahtijevati znatno napora kako bi ih sasvim sigurno, to može biti nije neuobičajeno vidjeti s CMS-out odgovarajuće zaštite. Takva su jednostavno CMS meta hakera.

Kada je CMS dobiva sjeckan, općenito razlog za to samo da nije CMS sama po sebi je nesiguran, ali da hakeri iskoristili su neke uobičajene greške admin. Popis admin zabluda je prilično dugo, ali ne iznenađuje, broj vjerojatno najviše rasprostranjen one obično jednu znamenku. Ovdje su neke od tih pogrešaka, morat ćete znati i nikada ne unutar CMS-a da upravljaju:

1. Default lozinke

Jednom u 1 stvari hakeri proučavaju kad planiraju napad je za "Easy lozinke". Default lozinke (npr. lozinke koje dolaze zajedno sa set up) su jednostavno pronaći. To je uistinu točno da brojni CMS nikada ne imati zadanu lozinku ili čak ako oni to, postaviti postupku će vam promijeniti svoju lozinku prije nego što ga je moguće koristiti program, ali u slučaju da vaš CMS dolazi sa zadanu lozinku, pobrinite se da ga mijenja. Također, budite sigurni da ste upravo promijenili lozinku za bazu podataka previše jer baza podataka je također na meti hakera.

2. Blank lozinke

Osim zadanih lozinki, lozinke su još čiste uobičajena pogreška admini napraviti (ako je CMS omogućava im sreću jer puno HMD-a ne bi bilo moguće za čiste lozinke). Nije potrebno navesti kako rizičnim čiste lozinke - zovu bez nagađanje na sve i sjeckanje CMS koji ima praznu lozinku je jednostavno komad torte za početnike. Sve to potrebno je pogoditi ime - ako korisničko ime je "admin", "administrator" ili neke stvari uspoređivati, onda provali u CMS-u je nekoliko sekundi.

Kao i kod zadane zaporke, rizik je veći ako admin račun je pod utjecajem, ali ne postoji razlog da neka ne-admin kupaca, koji imaju pristup bazi podataka imati prazne lozinke. To je zapravo razlog zašto ima smisla na silu stroga pravila za lozinke za svakoga.

3. Nema zakrpe staviti u

To je uistinu točno da instalirate desetke zakrpe dan je dosadno, ali kada ne bdjeti vanjska strana za (barem) ključnim promjenama i ne postaviti ih u propisanom roku, odnosno poziv na hakera. Hakeri pratiti izvješća za nove ranjivosti i ovise o istine da administrator neće instalirati zakrpe brzo.

U stvari, nekoliko hack dogoditi samo u vremenskom razdoblju od ranjivosti je prijavljen kao admin instalira patch. To je zapravo razlog zašto to može biti presudno za postavljanje zakrpe brzo i ručno. Automatsko postavljanje je jednostavniji, ali kao čudno kako je svibanj zvuk, to bi mogao učiniti problemi gori - odnosno slomiti CMS. Vi ne će trebati postaviti zakrpe ručno, tako da znate točno ono što je instaliran.

4. PHP register_globals na

Ako je vaš CMS je napisan u PHP-u i koristite PHP 5 ili ranije, jednom mnogo stvar koju trebate provjeriti odmah je register_globals, ako je uključen. Ako je na register_globals, morat ćete ga isključiti odmah s obzirom na činjenicu kad je stvarno je na, vidjet ćete milijune metoda u kojoj to može biti zloupotrebljena hack vaše web stranice. Za nemalo CMS ta varijabla je po defaultu isključen, ali ne možete se osloniti na to - da ćete želite provjeriti ručno.

Od rijetkim slučajevima kada imate dodataka ili druge funkcije koje se ne može raditi kada je register_globals off, to je uistinu ne brainer što dovršite - samo dobili osloboditi od tih dodataka / funkcionalnost jer je to manje žrtve nego što register_globals na .

5. Nesigurno internet hosting


Nesigurno web hosting je jedan s najvećom opasnosti za sigurnost vašeg CMS-a. Ranjivosti unutar operacijskog sustava kao i drugi softver koji je instaliran na vašem riječi širokog web host također su među omiljenih meta hakera plus najgore je da ako je vaš Riječ Wide Web domaćin je nesigurno, nema puno ti kao admin vlastitog CMS možete učiniti kako bi ga neutralizirali. Ne možete popraviti rupe u sigurnosti vlastitog neto hosting usluga, kao i jedino pitanje možete učiniti je pobjeći u daleko boljem neto domaćina.

6. velikodušna osoba privilegije

Naći ćete teško bilo admina (u ispravnom umu), tko će dati administratorske ovlasti na obične korisnike, ali ne postoje da malo admini, koji su zaista velikodušni kada korisnik povlastice su u pitanju. Jedan posebno vjerojatno najkritičnijih sigurnosnih smjernica mogla biti barem pravilo privilegija - tj. daju kupci pristup samo na one dijelove vaše internet stranice oni uistinu trebaju imati kako bi dovršili svoj posao. Jedan od rizika velikodušnih osoba privilegija je da uvjerenja mogu se koristiti za internu sjeckanje, koji neće biti manji problem od vanjskih napada hack.

7. Nesigurno dodataka

Hakeri mogu i ne ulaze preko ulaznih vrata unutar vašeg HMD-a, ali kada su vrata otvorena druge, oni ne moraju imati backdoors (tj. malware) ući u vaše web stranice. Praktično bilo CMS oslanja na dodatke za ponuditi dodatne mogućnosti, a to može biti šarm CMS-a zbog činjenice da dobijete baza postaviti i imate slobodu da dodate samo značajke će vam trebati, ali ta sloboda je i sigurnosni rizik .

U pravilu, dodaci su razvijeni od strane trećih strana i nije posve jasno jesu li oni rigorozno su testirane. Nevjerojatno obično plugins imaju sigurnosne rupe u njima i hakeri su sretni da se korist od takvih sigurnosnih rupa. Najmudriji je moguće učiniti je ukloniti sve dodatke s poznatim pitanjima zaštite. To stvarno je znatno veći da ne posjeduju i određena mogućnosti nego staviti sigurnost nečije cijele web stranice u opasnosti.

Rocky Rasonable

Filipino Senior PHP programer, web developer i Webmaster sa sjedištem u Davao, Filipini. Stručnjak u Joomla, WordPress, Soholaunch i osCommerce, Drupal, društvenih medija sučelja i sl.

More Posts - Web stranica

 

Recent Posts

Arhiva

Kategorije

Blogroll

Portal stranice

Prevoditelj

English flagItalian flagKorean flagChinese (Simplified) flagChinese (Traditional) flagPortuguese flagGerman flagFrench flagSpanish flagJapanese flag
Arabic flagGreek flagDutch flagBulgarian flagCzech flagCroatian flagDanish flagFinnish flagHindi flagPolish flag
Romanian flagSwedish flagNorwegian flagCatalan flagFilipino flagHebrew flagIndonesian flagLatvian flagLithuanian flagSerbian flag
Slovak flagSlovenian flagUkrainian flagVietnamese flagAlbanian flagEstonian flagGalician flagMaltese flagThai flagTurkish flag
Hungarian flag         

Moji partneri

Pregled rockyrasonable.com na alexa.com

Hostgator
Hostgator templateplazza elegantthemes RocketTheme TopPhilippineWebsites.com Programiranje blogroll Centar

Tags

Get Adobe Flash player Plugin za wpburn.com WordPress tema

Powered by WP Robot