7典型的CMS管理錯誤
出版日期:2011年02月06,標籤: CMS , 內容材料管理系統 , 內部黑客攻擊 , 互聯網主機 , 惡意軟件 , PHP , 插件 , 虛擬主機
(CMS內容材料管理系統簡介)經營部落格,私人網站,企業網站和任何其他類型的網站你能相信。CMS的軟件方案的確是一個非常喜歡的一塊是相當簡單的利用這是他們為什麼變得這麼好喜歡的根本原因。
然而,簡單的利用和保護,是絕對不會當CMS有關的同義詞。 雖然大多數頂端CMS 不需要很多努力創造他們非常安全,這是不尋常,確定了正確的安全 CMS。 這樣的CMS是簡單的黑客的目標 。
當CMS被砍死,一般為這項事業是不是CMS本身是不安全的,但黑客了一些典型的管理錯誤的利益。 管理員錯誤列表是相當漫長的,但是,這並不奇怪,可能是最典型的品種實在是一個單一的數字。 下面是一些你需要知道這些錯誤,絕不做你在CMS管理:
1。 默認密碼
在初始的事物黑客驗證,一旦戰略攻擊為“簡單密碼”。 默認口令(即密碼,來共同使用安裝)是簡單的尋求。 這是準確的,眾多的CMS不不包括1默認密碼或即使他們這樣做,安裝過程將讓你改變你的密碼之前你是可以使用的軟件程序,但如果您的CMS來有一個默認的密碼,是確保你改變它。 同時,要確保你改變了數據庫的密碼,也僅僅是因為數據庫也是黑客攻擊的目標。
2。 空白密碼
此外默認密碼,密碼為空是一個額外的典型錯誤管理員使(CMS如果允許他們僅僅是因為幸好眾多的CMS不允許空白密碼)。 這不是必要的說明如何危險空白密碼 - 他們需要猜測和黑客有一個空白密碼的CMS僅僅是一個初學者的一塊蛋糕。 它需要將猜測的用戶名-如果用戶名是“管理員”,“管理員”或一些東西可比,然後將您的CMS打破真的是幾秒鐘的事。
默認密碼的威脅是更大的管理員帳戶時會受到影響,但有沒有允許非管理員用戶,他們已經對數據庫的訪問具有空白密碼的原因。 這是為什麼強制密碼的嚴格的準則,每個人都很有意義。
3。 沒有補丁安裝
這是準確的,安裝幾十補丁的每一天是枯燥的,但在該事件中,你不小心(至少)的重要更新不及時安裝,這是一個黑客的邀請。 黑客監控新的漏洞的報告,並取決於現實管理員不會立即安裝補丁。
事實上,許多黑客之間的漏洞,在一段時間內發生的報導,也管理員安裝補丁。 這就是為什麼它必須快速手動安裝補丁。 自動安裝簡單,但不尋常的,因為它可能聽起來,它可以使事情變得更糟 - 即打破您的CMS。 你必須手動安裝補丁程序,以確保你意識到正是已安裝。
4。 PHP的register_globals的ON
如果您的CMS是用PHP編寫,你也正在利用PHP五年或更早,1很多因素,你應該確認正確的距離是,如果register_globals的是。 如果register_globals的是,你需要將其關閉即刻簡單,因為它時,你會發現數以百萬計的方法,這可能被濫用來破解你的網站。 眾多CMS這個變量默認是關閉的,但你不能依靠 - 你應該手動驗證。
在罕見的情況下,只要你有插件或其他功能不能正常工作,當register_globals關閉,這是沒有道理的,完成什麼 - 只是消除這些插件/功能,僅僅是因為這是不必了register_globals,犧牲不到。
5。 不安全的Internet託管
不安全的Internet主機是其中最好的CMS安全的危險 。 的經營方案,並在其他軟件程序,是在你的互聯網主機安裝內的弱點是還除黑客的首選目標,並也最糟糕的是,如果你的互聯網主機是不安全的,那裡是不是1很多1的管理員的CMS可以做抵消。 內的互聯網託管服務提供商的安全性,你不能修復的漏洞,也是唯一的因素你都能夠做到的是逃避到一個更好的互聯網主機。
6。 慷慨的用戶權限
你會發現幾乎沒有任何管理員在他們的正確的思想,誰給普通用戶管理員權限,但有沒有那幾個管理員,誰是真正的慷慨,當用戶特權。 其中最重要的安全指引,將是最少的特權規則 - 即給用戶只能訪問的網站,他們真正有能夠做他們的工作這些組件。 慷慨的用戶權限的風險是可以利用內部的黑客攻擊 ,這不是一個小的問題比外部黑客攻擊的事實憑據。
7。 不安全的插件
黑客可能通過前門的CMS無法進入,但如果對方的大門是敞開的,他們並不需要的後門 (即惡意軟件 ),以獲得訪問你的網站。 幾乎所有的CMS依靠插件來提供額外的功能,僅僅是因為你得到一個基本的安裝,你也有自由只添加的功能,你需要,但這種自由也是一個安全的威脅,這將是對CMS的魅力。
作為一項規則,由第三方創建插件 ,它不是相當清楚,如果他們經過嚴格的測試。 非常頻繁的插件必須在他們的安全漏洞和黑客很高興使任何此類安全漏洞。 最明智的,你是能夠做到的是與公認的安全問題,消除任何插件。 這是很多好得多有一個特定的功能,將在整個網站的安全威脅。
