CMS 7 일반 관리자 오류
게시 날짜 : 2011년 2월 6일을태그 : CMS , 콘텐츠 자재 관리 시스템 , 내부 해킹 , 인터넷 호스팅 , 악성 코드 , PHP는 , 플러그인 , 웹 호스팅
CMS는 (콘텐츠 소재 관리 시스템에 대한 개요) 실제로 운영 블로그, 개인 사이트, 기업 사이트 및. CMS에서 믿을 수있는 사이트의 다른 종류의 소프트웨어 프로그램 매우 잘 좋아하는 조각 것은 이용하도록 비교적 단순 그리고 이것은 그들이 잘 드신 다니 된 이유는 한 필수 원인입니다.
그럼에도 불구하고, 이용하고 확보하는 간단한 CMS를 걱정하는 동의어는 확실히 아니다. 상단 CMS의 대부분은 그들이 매우 안전하게 만드는 많은 노력이 필요하지 않지만, 그것은 올바른 보안 밖으로 CMS를 결정하는 이상한 일도 아니야. 이러한 CMS는 해커를위한 간단한 목표입니다.
CMS가 해킹되면 모든 일반적으로 이것에 대한 원인은 CMS 자체가 안전하지 않은 것이 아니지만 그 해커는 일반적인 관리자 오류의 혜택을했습니다. 관리자 오류의 목록은 상당히 길어질 것입니다하지만 놀랍게도, 아마도 가장 일반적인 것들의 종류가 정말 하나의 숫자이다. 여기는 당신이 알아야 할 이러한 오류 중 몇 가지없고 통해 CMS 내에서 관리합니까 :
1. 기본 암호
그들이 공격 전략 "쉬운 비밀 번호"에 대한 것입니다 일단 초기 것들 중에는 해커 확인합니다. 기본 비밀 번호 (통칭 설치를 사용 와서 암호를 IE) 찾아 간단 있습니다. 그것은 수많은 CMS는 기본 암호를하거나 할 경우에도, 설치 프로세스는 사용자가 소프트웨어 프로그램을 사용할 수 있습니다하지만 CMS는 기본 암호를 가지고 온다면 반드시 때문일 사전에 비밀 번호를 변경하게 포함하지 않는 것이 정확한이야 그것을 변경하지 않습니다. 또한, 데이터베이스 또한 해커에 대한 목표도 단순히 때문에 데이터베이스에 대한 암호를 변경할 수 있는지 확인합니다.
2. 빈 암호
또한 기본 암호, 빈 암호는 추가적인 실수 관리자가 (CMS에서 허용하는 경우에 그들이 단순히 고맙게도 많은 CMS가 빈 암호를 허용하지 않기 때문에) 만들 수 있습니다. 그것은 위험 빈 암호가 얼마나 굳이 필수 아니에요 - 그들은 전혀 추측과 빈 암호를 갖는 CMS는 단지 초보자를위한 케잌이다 해킹이 필요 없다. 필요한 것은 사용자 이름을 추측하는 것입니다 - 사용자 이름 "admin"과, "관리자"또는 비교 가능한 몇 가지 다음, CMS에 침입하는 경우 정말 초 문제입니다.
기본 암호와 마찬가지로 관리자 계정에 영향을 미칠 때 위협이 크다지만 빈 암호를 가지고 데이터베이스에 대한 액세스를 가지고 왔어요 비관 리자 사용자를 허용 할 이유는 없습니다. 그건 사람마다 암호에 대한 엄격한 지침을 강제로 적합한 이유입니다.
3. 어떤 패치가 설치되어 있지
그것은 매일 패치 수만를 설치하는 것은 지루한 것이 정확한지만 이벤트에서 당신이 중요 업데이 트와 적시에 그들을 설치하지 마십시오, 이건 해커에 대한 제안 (최소)을 조심하지 않습니다. 해커는 새로운 취약점에 대한 리포트를 모니터링하고 관리자가 즉시 패치를 설치하지 않을 것이라는 현실에 따라 다릅니다.
사실, 수많은 해킹 단지 취약점 사이에있는 기간 내에 발생은보고 있으며 관리자가 패치를 설치합니다. 이것은 빠르고 수동으로 패치를 설치하는 것이 중요 이유입니다. 그것은 상황은 악화 되기만 수 들릴 수 있기 때문에 자동으로 설치가 간단하지만, 비정상적인 것입니다 - 즉 당신의 CMS를 끊는다. 당신은 설치되었는지 정확히 무엇인지 깨닫게되도록 수동으로 패치를 설치할 필요가 않습니다.
4. PHP를 register_globals의
register_globals가 on되어있다면 귀하의 CMS는 PHP로 작성되며, 또한 PHP를 이용하는 경우 다섯이나 이전 1, 많은 요소가 떨어져 정확한를 검증해야하는 것입니다. register_globals가 on되어있다면 그것에 때 당신이이 웹사이트를 해킹 남용 수있는 방법의 수백만을 찾을 것이기 때문에, 당신은 단순히 즉시 해제해야합니다. 다양한 CMS의 경우이 변수는 기본적 해제하는 것입니다하지만 거기에 의지할 수 없다 - 당신은 수동으로 확인해야합니다.
드문 상황 만에 플러그인이나 register_globals가 꺼져있을 때 작동하지 않을 수있는 다른 기능이있을 때마다, 그것은 생각할 필요도 완성 뭐지 - 이건에 register_globals를 갖는 것보다 희생 훨씬 작다 고해서 바로 이러한 플러그인 / 기능을 제거합니다.
5. 안전하지 않은 인터넷 호스팅
안전하지 않은 인터넷 호스팅은 하나의 CMS의 보안을위한 최선의 위험 중 하나입니다. 운영 프로그램과 또한 인터넷 호스트에 설치되어있는 다른 소프트웨어 프로그램의 취약점은 해커들의 선호 대상 사이에서 또한 또한 최악의 인터넷 호스트가 안전하지 못한 경우, 많은 여러분의 관리자로서가 아니라는 사실이다 자기의 CMS는 그것을 중화하기 위해 수행할 수 있습니다. 하나의 인터넷 호스팅 공급자의 보안 이내에 구멍을 고칠 수없고 또한 당신이 할 수있는 유일한 요소는 더 나은 인터넷 호스트로 탈출한다.
6. 관대 사용자 권한
당신은 거의 모든 일반 사용자에게 관리자 권한을 제공합니다 관리자 (자신의 올바른 생각에서)하지만, 사용자 권한이 우려되면 정말 좋구먼 관리자의 그 부부가 없습니다 찾을하지 않습니다. 가장 중요한 보안 지침 가운데 최소 권한 규칙 될 것입니다 - 즉 사용자들이 진정으로 자신의 작업을 할 수 있어야 할 웹사이트의 이러한 구성 요소에만 액세스 제공합니다. 관대한 사용자 권한의 위험 중에는 자격 증명이 외부 해킹 공격보다 더 작은 문제를이 아닙니다 내부 해킹, 활용 될 수있다는 사실이다.
7. 안전하지 않은 플러그인
해커 하나의 CMS는 정문을 통해 입력할 수 있지만 다른 문이 열려있다면, 그들은 귀하의 웹사이트에 대한 액세스를 얻기 위해 (즉, 악성 코드) 백도어 필요하지 않습니다. 거의 모든 CMS는 추가 기능을 제공하는 플러그인에 의존하고 기지 설치를 얻고 또한 당신은 그러나이 자유는 또한 보안 위협하셔야 전용 기능을 추가할 수있는 자유가 간단하기 때문에 이것은 CMS의 매력이 될 것입니다.
원칙적으로 플러그인은 타사에 의해 만들어지고 그것들이 엄격한 테스트를한다면 비교적 분명하지 않습니다. 매우 자주 플러그인 그들의 보안 구멍을 가지고 있으며 해커는 이러한 보안 취약점을 최대한 활용할 것을 기쁘게 생각합니다. 당신이 할 수있는 현명한는 인식 보안 문제가있는 플러그인을 제거합니다. 그것은 훨씬 훨씬 더 위협에 하나의 전체 웹사이트의 보안을 배치하는 것보다 특정 기능이 아니다.
