Publikované: 13. apríla 2012
Tagy: Deactivate Facebook a Facebook a Tipy a trendy v roku 2012 , webové služby a Webové stránky a world wide web CMS (Content Management Stručný pre materiálu System) je naozaj extrémne dobre-liked kus počítačového programu pre prevádzku blogov, súkromné stránky, firemné stránky a iné druhy stránok, ktoré sú schopní veriť v CMS sú celkom jednoduché využiť a to je zásadný príčinou 1, prečo sa stal sa tak páčila.
Avšak, jednoduchá využiť a zaistiť rozhodne nie sú synonymá ak sa jedná o CMS. Hoci väčšina z top CMS nepotrebujú veľa úsilia o vytvorenie je extrémne bezpečný, to nie je nezvyčajné pre určenie CMS sa z správnej zabezpečenia. CMS ako sú jednoduché ciele pre hackerov.
Keď sa dostane hacknut CMS, všeobecne príčinou nie je to, že redakčný systém sám o sebe je neistý, ale že hackeri sa prínos niektorých typických admin chýb. Zoznam admin chýb je pomerne zdĺhavý, ale nie je divu, že mnoho pravdepodobne najtypickejšie tých je naozaj jediná číslice. Tu sú niektoré z týchto chýb, ktoré potrebujete vedieť, a v žiadnom prípade sa v rámci CMS môžete spravovať
1. Predvolené heslá
Medzi prvých vecí, hackeri overenie po tom, čo stratégiu útoku je pre "ľahké" hesiel. Predvolené heslo (tj heslo, ktoré prichádzajú spoločne pomocou inštalácie) sú jednoduché hľadať. To je presné, že početné CMS nezahŕňajú predvolené heslo alebo aj keď to bude inštalačný proces aby si zmeniť heslo pred budete môcť využívať softvérový program, ale ak vaše CMS prichádza s predvolené heslo, uistite sa, že ste meniť. Tiež sa uistite, že ste zmenil heslo pre databázu tiež jednoducho preto, že databáza je tiež cieľom pre hackerov.
2. Prázdne heslá
Navyše do predvoleného hesla, hesla sú prázdne ďalších Klasickou chybou admini vykonať (ak CMS im umožňuje jednoducho preto, že našťastie mnoho CMS neumožňujú prázdne heslá). Nie je to nevyhnutné, aby ako riskantné prázdne heslá sú - musí bez hádania vôbec a hackovanie CMS má prázdne heslo je len hračka pre začiatočníka. Všetko, čo to vyžaduje, by bolo myslieť si užívateľské meno - ak je používateľské meno je "admin", "správca" alebo nejakú vec, porovnateľné, potom vlámaniu do vášho CMS je naozaj otázkou niekoľkých sekúnd.
Rovnako ako u štandardných hesiel, hrozba je väčšia, keď je ovplyvnený admin účet, ale nie je dôvod povoliť non-admin užívateľov, ktorí si prístup k databáze má prázdne heslo. To je dôvod, prečo má zmysel nútiť prísne pravidlá pre heslá pre každého.
3. Žiadne záplaty nainštalované
To je presné, že inštalácia desiatky záplat každý deň je nuda, ale v prípade nemusíte dávať pozor na (minimálne) životne dôležité aktualizácie a neinštalovať je včas, to je výzva pre hackerov. Hackeri sledovať správy pre nové slabé miesta a závisí na skutočnosti, že správca nebude inštalovať záplaty okamžite.
V skutočnosti, mnoho hack vyskytujú len v časovom období v rokoch zraniteľnosti je hlásená a tiež správca nainštaluje opravu. To je dôvod, prečo je dôležité inštalovať opravy rýchlo a ručne. Automatická inštalácia je jednoduchšia, ale ako neobvyklé, pretože to môže znieť, mohla by to byť ešte horšie veci - tj zlomiť CMS. Máte nainštalovať záplaty ručne, aby zabezpečili, že si uvedomíte, presne to, čo bol nainštalovaný.
4. PHP register_globals na
Ak váš CMS je napísaný v PHP a tiež užívate PHP päť alebo skôr, 1 oveľa viac faktorov, mali by ste overiť správne vzdialenosti je, ak je na register_globals. Ak register_globals je zapnutý, je nutné ho vypnúť okamžite jednoducho preto, že keď je to tak, nájdete milióny metód, v ktorých by to mohlo byť zneužité k zaseknúť svoje webové stránky. U mnohých CMS táto premenná je v predvolenom nastavení vypnuté ale nemôže závisieť na tom - mali by ste overiť ručne.
V neobvyklej situácii, kedykoľvek budete mať pluginy alebo iné funkcie, ktoré nemôže fungovať, keď register_globals je vypnuté, je to nie premýšľať, čo pre dokončenie - stačí odstrániť tieto pluginy / funkčnosť jednoducho preto, že je to oveľa menej obetí, než mať na register_globals.
5. Neisté internet hosting
Neisté internet hosting patrí medzi najlepšie nebezpečenstvo pre bezpečnosť niečí CMS. Slabé miesta v rámci operačného programu a aj iným softvérovým programom, ktorý je nainštalovaný vo vašom internetovom hostiteľmi sú tiež medzi prioritné ciele hackerov a tiež najhoršie je skutočnosť, že ak váš internetový hostiteľ je neistá, nie je veľa, čo ako admin niečí CMS dokáže neutralizovať to. Nemôžete opraviť diery v bezpečnosti niektoré internetové poskytovateľa hostingu a taktiež jediným faktorom, ste schopní urobiť, je útek do oveľa lepší internetového hostiteľa.
6. Veľkorysé užívateľské oprávnenia
Nájdete tu takmer žiadne Admins (v ich správnych myšlienok), ktorý Vám umožní admin oprávnenia pre bežných užívateľov, ale tam nie sú, že pár adminov, ktorí to skutočne veľkorysý, keď sa jedná o užívateľské oprávnenia. Medzi najvýznamnejšie bezpečnostných smerníc bude aspoň privilégium pravidlo - tj poskytnúť užívateľom prístup len na tieto zložky webové stránky, ktoré naozaj musieť byť schopný robiť svoju prácu. Medzi riziká veľkorysé užívateľských oprávnení je skutočnosť, že poverenie by sa mohli využiť pre interné hacking, čo nie je žiadny problém menší ako externý hack útokov.
7. Nebezpečné pluginy
Hackeri nesmie vstúpiť cez predné dvere niečí CMS, ale ak sa ostatné dvere sú otvorené, nevyžadujú zadné vrátka (tj malware), získať prístup na vaše webové stránky. Takmer každý CMS spolieha na pluginy ponúkať ďalšie funkcie a to bude kúzlo CMS jednoducho preto, že vám základnej inštalácii a tiež môžete slobodne pridať iba funkcie, ktoré budete potrebovať, ale táto sloboda je tiež bezpečnostnú hrozbu.
Spravidla sú pluginy vytvorené tretími stranami, a to nie je celkom jasné, či oni sú prísne testované. Veľmi často pluginy majú bezpečnostné diery v nich a hackeri sú radi, aby čo najviac o týchto bezpečnostných dier. Najmúdrejší ste schopní urobiť, je odstrániť všetky pluginy s uznávanými bezpečnostnými problémami. Je to oveľa oveľa lepšie, mať osobitnú funkciu, ako umiestniť bezpečnosť niečí celé webové stránky v ohrození.
Filipínsky Senior PHP programátor, webový vývojár a webmaster so sídlom v Davao, Filipíny. Expert na Joomla, Wordpress, Soholaunch a osCommerce, Drupal a sociálnych médií stránky a atď
Ďalšie príspevky - Webové stránky
