公開:2012年4月13日
タグ: Facebookの非アクティブ化し 、 Facebookの 、 ヒント 、 2012年の動向を 、 Webサービス 、 Webサイト 、 ワールドワイドウェブ CMS(コンテンツ素材管理システムの概要)実際に動作するブログ、プライベートサイト、企業サイトやお前の信じることができているサイトの他の種類のソフトウェア·プログラムの非常によく言っています作品です。CMSの使用をすることはかなり単純であるこれは彼らがよく言っていますので、なった理由1本質的な原因です。
それにもかかわらず、を利用し、確保するためにシンプルなCMSが懸念されるシノニムは間違いありません。 トップCMSのほとんどは、彼らは非常に安全に作成するためにたくさんの努力をする必要はありませんが、それは正しいセキュリティ外でCMSを決定するために珍しいことではありません。 このようなCMSは、 ハッカーのためのシンプルな標的である。
CMSがハッキングされると、一般的に、この原因は、CMS自体が安全であることではありませんが、そのハッカーはいくつかの典型的な管理者のエラーの利益を取った。 管理エラーのリストはかなり長いですが、驚くことではないが、おそらく最も代表的なものの様々な実際には単一の数字です。 ここにあなたが知っている必要がありますこれらのエラーの数であり、決して、CMS内では管理しない:
1。 デフォルトのパスワード
彼らは攻撃するための戦略は、 "簡単なパスワード"のためになると、初期のもののうちのハッカーは確認してください。 デフォルトのパスワードは、(以下総称してインストールを使用してきたパスワードをすなわち)を求めることが簡単です。 それは、多くのCMSは、デフォルトのパスワードまたは彼らが行う場合でも、インストールプロセスは、ソフトウェアプログラムを使用することができますが、あなたのCMSは、デフォルトのパスワードを持って来る場合、あなたのことを確認し前に、あなたのパスワードを変更することになりますが含まれていないことを正確ですそれを変更します。 また、データベースもハッカーの標的であるという理由だけでも、データベースのパスワードを変更することを確認してください。
2。 空白のパスワード
デフォルトのパスワードに加えて、空白のパスワードは、追加の典型的なミスの管理者は(ありがたいことに、多くのCMSは、空白のパスワードを許可していないため、CMSは単にそれらを許可している場合)を作るです。 それは危険な空白のパスワードはどのように提示することが不可欠ではない - 彼らはすべてを推測し、空白のパスワードを持つCMSは、単に初心者のためのケーキですハッキングは必要ありません。 それは必要なすべてのユーザー名を推測するだろう-ユーザ名は"admin"、 "管理者"または同等のいくつかのこと、その後、CMSに侵入している場合、本当にほんの数秒です。
デフォルトのパスワードと同様に、adminアカウントには影響されたときに脅威が大きいですが、空白のパスワードが設定されているために、データベースに対するアクセスをした管理者以外のユーザーを許可する原因はありません。 それは皆のためのパスワードの厳格なガイドラインを強制的に理にかなっている理由はここにあります。
3。 パッチはインストールされていません
それは毎日のパッチの数をインストールしても退屈であることを正確だが、イベントでは、 重要な更新(最小)に気をつけないし、タイムリーな方法でそれらをインストールしないで、これは、ハッカーへの招待状です。 ハッカーは新しい脆弱性のレポートを監視し、管理者が即座にパッチをインストールしないことを現実のものに依存しています。
実際に、多くのハッキングだけで脆弱性の間の期間内に発生が報告され、また管理者がパッチをインストールされています。 これは、迅速かつ手動でパッチをインストールすることが不可欠である理由です。 それが事態を悪化させることができ、聞こえるかもしれないので、自動インストールは、単純なしかし、珍しいです - すなわち、あなたのCMSを破る。 あなたは何がインストールされているかを正確に実現することを保証するために、手動でパッチをインストールする必要もありません。
4。 PHPのregister_globalsがオン
register_globalsが上にある場合、あなたのCMSは、PHPで書かれており、また、PHPを利用している場合は5またはそれ以前のバージョンは、1より多くの要因が離れて正しいことを確認すべきことです。 register_globalsがオンになっている場合、あなたはそれが上にあるときには、これはあなたのウェブサイトをハックするために悪用される可能性があった方法で数百万人を見つけるというだけの理由で即座にそれをオフにする必要があります。 多くのCMSの場合、この変数はデフォルトでオフになっていますが、それに依存することはできません - あなたはそれを手動で確認する必要があります。
珍しい状況の中であなたはregister_globalsがオフのときに機能することはできませんプラグインや他の機能を持つたびに、それが完了するか全く簡単だん - これは上register_globalsを持つよりも犠牲のはるかに少ないので、単にこれらのプラグイン/機能を排除します。
5。 安全でないインターネットホスティング
安全でないインターネットホスティングは自分のCMSのセキュリティのために最高の危険の一つです。 動作プログラムもあなたのインターネットのホストにインストールされている他のソフトウェアプログラム内の脆弱性はハッカーの好ましい標的の一つでもあり、また最悪のあなたのインターネットホストが不安定であれば、たくさんのあなたの管理者としては存在しないという事実です。自分のCMSは、それを打ち消すために行うことができます。 は、1つのインターネットホスティングプロバイダのセキュリティ内のホールを修正することはできませんし、またあなたがすることができる唯一の要因は、はるかに優れたインターネットホストへの脱出です。
6。 寛大なユーザー権限
あなたは、ほとんどすべての一般ユーザーに管理者権限を与える管理者(自分たちが正しい考えでは)が、ユーザー権限が懸念されたとき、本当に寛大だ管理者は、そのカップルが存在しないを見つけません。 最も重要なセキュリティガイドラインの中で最小特権の規則になります - すなわち、ユーザーが本当にその仕事をすることができなければならないしなければならないウェブサイトのこれらのコンポーネントにのみアクセスできる。 寛大なユーザー権限のリスクの間で資格情報が外部ハッキング攻撃よりも小さい問題を社会運動内部のハッキング 、のために利用することができるという事実である。
7。 安全でないプラグイン
ハッカーが自分のCMSのフロントドアを経由して入力することはできませんが、他のドアが開いている場合、彼らはバックドア (すなわちマルウェア ) があなたのウェブサイトへのアクセスを取得する必要はありません 。 ほぼすべてのCMSは、余分な機能を提供し、基本インストールを取得し、また、あなただけが必要とする機能を追加する自由を持っていますが、この自由はまた、セキュリティ上の脅威であるため、これは単にCMSの魅力となるプラグインに依存しています。
原則として、 プラグインはサードパーティによって作成され、それは彼らが厳密にテストしている場合はかなり明確ではありませんされています。 非常に頻繁にプラグインがそれらのセキュリティホールを持っており、ハッカーは、どのようなセキュリティホールを最大限に活用することを嬉しく思います。 あなたがすることができる賢明な、認識されたセキュリティ上の問題を持つ任意のプラグインを除去します。 それは多くの方がずっと脅威で自分のサイト全体のセキュリティを配置するよりも、特定の機能を持っているではありません。
ダバオ、フィリピンに拠点を置くフィリピンのシニアPHPプログラマー、Web開発者とウェブマスター。 のJoomla、ワードプレス、Soholaunch、osCommerceのは、Drupal、ソーシャルメディアサイト、等の専門家
投稿 - ウェブサイト
