7典型的CMS管理错误
出版日期:2011年02月06,标签: CMS , 内容材料管理系统 , 内部黑客攻击 , 互联网主机 , 恶意软件 , PHP , 插件 , 虚拟主机
(CMS内容材料管理系统简介)经营部落格,私人网站,企业网站和任何其他类型的网站你能相信。CMS的软件方案的确是一个非常喜欢的一块是相当简单的利用这是他们为什么变得这么好喜欢的根本原因。
然而,简单的利用和保护,是绝对不会当CMS有关的同义词。 虽然大多数顶端CMS 不需要很多努力创造他们非常安全,这是不寻常,确定了正确的安全 CMS。 这样的CMS是简单的黑客的目标 。
当CMS被砍死,一般为这项事业是不是CMS本身是不安全的,但黑客了一些典型的管理错误的利益。 管理员错误列表是相当漫长的,但是,这并不奇怪,可能是最典型的品种实在是一个单一的数字。 下面是一些你需要知道这些错误,绝不做你在CMS管理:
1。 默认密码
在初始的事物黑客验证,一旦战略攻击为“简单密码”。 默认口令(即密码,来共同使用安装)是简单的寻求。 这是准确的,众多的CMS不不包括1默认密码或即使他们这样做,安装过程将让你改变你的密码之前你是可以使用的软件程序,但如果您的CMS来有一个默认的密码,是确保你改变它。 同时,要确保你改变了数据库的密码,也仅仅是因为数据库也是黑客攻击的目标。
2。 空白密码
此外默认密码,密码为空是一个额外的典型错误管理员使(CMS如果允许他们仅仅是因为幸好众多的CMS不允许空白密码)。 这不是必要的说明如何危险空白密码 - 他们需要猜测和黑客有一个空白密码的CMS仅仅是一个初学者的一块蛋糕。 它需要将猜测的用户名-如果用户名是“管理员”,“管理员”或一些东西可比,然后将您的CMS打破真的是几秒钟的事。
默认密码的威胁是更大的管理员帐户时会受到影响,但有没有允许非管理员用户,他们已经对数据库的访问具有空白密码的原因。 这是为什么强制密码的严格的准则,每个人都很有意义。
3。 没有补丁安装
这是准确的,安装几十补丁的每一天是枯燥的,但在该事件中,你不小心(至少)的重要更新不及时安装,这是一个黑客的邀请。 黑客监控新的漏洞的报告,并取决于现实管理员不会立即安装补丁。
事实上,许多黑客之间的漏洞,在一段时间内发生的报道,也管理员安装补丁。 这就是为什么它必须快速手动安装补丁。 自动安装简单,但不寻常的,因为它可能听起来,它可以使事情变得更糟 - 即打破您的CMS。 你必须手动安装补丁程序,以确保你意识到正是已安装。
4。 PHP的register_globals的ON
如果您的CMS是用PHP编写,你也正在利用PHP五年或更早,1很多因素,你应该确认正确的距离是,如果register_globals的是。 如果register_globals的是,你需要将其关闭即刻简单,因为它时,你会发现数以百万计的方法,这可能被滥用来破解你的网站。 众多CMS这个变量默认是关闭的,但你不能依靠 - 你应该手动验证。
在罕见的情况下,只要你有插件或其他功能不能正常工作,当register_globals关闭,这是没有道理的,完成什么 - 只是消除这些插件/功能,仅仅是因为这是不必了register_globals,牺牲不到。
5。 不安全的Internet托管
不安全的Internet主机是其中最好的CMS安全的危险 。 的经营方案,并在其他软件程序,是在你的互联网主机安装内的弱点是还除黑客的首选目标,并也最糟糕的是,如果你的互联网主机是不安全的,那里是不是1很多1的管理员的CMS可以做抵消。 内的互联网托管服务提供商的安全性,你不能修复的漏洞,也是唯一的因素你都能够做到的是逃避到一个更好的互联网主机。
6。 慷慨的用户权限
你会发现几乎没有任何管理员在他们的正确的思想,谁给普通用户管理员权限,但有没有那几个管理员,谁是真正的慷慨,当用户特权。 其中最重要的安全指引,将是最少的特权规则 - 即给用户只能访问的网站,他们真正有能够做他们的工作这些组件。 慷慨的用户权限的风险是可以利用内部的黑客攻击 ,这不是一个小的问题比外部黑客攻击的事实凭据。
7。 不安全的插件
黑客可能通过前门的CMS无法进入,但如果对方的大门是敞开的,他们并不需要的后门 (即恶意软件 ),以获得访问你的网站。 几乎所有的CMS依靠插件来提供额外的功能,仅仅是因为你得到一个基本的安装,你也有自由只添加的功能,你需要,但这种自由也是一个安全的威胁,这将是对CMS的魅力。
作为一项规则,由第三方创建插件 ,它不是相当清楚,如果他们经过严格的测试。 非常频繁的插件必须在他们的安全漏洞和黑客很高兴使任何此类安全漏洞。 最明智的,你是能够做到的是与公认的安全问题,消除任何插件。 这是很多好得多有一个特定的功能,将在整个网站的安全威胁。
