Recentemente, uno dei miei clienti che utilizzano un sistema di gestione dei contenuti open source (CMS) è stato violato più volte. Ho parlato del CMS è nel passato. Ma non ho davvero parlato del fatto che l’open source CMS sono inclini alla pirateria informatica da parte di hacker.
Beh, lo sono. Questa è la triste verità. Anche con un aperto personalizzato sorgente CMS (come si usa il mio cliente di cui sopra), i siti sono molto inclini alla pirateria. Soprattutto perché chiunque può vedere il codice e cercare vulnerabilità in esso.
Alla luce della mia recente esperienza, ho fatto una piccola ricerca sul tema della sicurezza dei vostri hacker sito. Ecco cinque suggerimenti su qualsiasi titolo CMS contro gli hacker. Alcuni di loro sono stati già implementati nel luogo del mio cliente, alcuni non era.
1. Rinominare il file admin
Molti CMS open source utilizzando i file di amministratore solo nominati, spesso chiamato admin.php. Cambiare il nome a qualcosa come mysitebackend.php.
L’unico trucco per questo è ora bisogna rinominare tutti i riferimenti ad esso in altri file sul vostro CMS. Quello che dovete fare è utilizzare un programma che può cercare più file al vecchio nome, admin.php, e sostituirlo con il nuovo nome, mysitebackend.php.
In Windows, un buon programma gratuito che ha questa abilità è SciTE. Se si utilizza un Mac, bene è TextWrangler.
2. non collegare pubblicamente al file admin
Questo è piuttosto semplice. Non mettere un link sul vostro amministratore di file recentemente rinominato per tutti da vedere. Il più sicuro modo (ma forse scomodo) è alcun legame di ovunque a tutti, ma semplicemente un marcatore nel tuo browser.
3. Rimuovere servizi inutilizzati
Questo è quello che ero colpevole di non farlo al posto del mio cliente. Non limitatevi a disattivare i moduli / funzioni che non utilizzano (e non avete intenzione di usare). Rimuovere completamente.
Spesso, buchi di sicurezza che gli hacker risultati sono in qualcosa che non è in uso in luogo comunque. Se i file non sono lì per lui per l’accesso, non sarà in grado di utilizzare questo metodo particolare di penetrare.
4. Utilizzare password complesse
Più lunga è la password e il bambino come un normale inglese è meglio. E ‘improbabile che il sistema ha un numero massimo di caratteri per una password. In molti sistemi che ho incontrato, il limite è di 10 caratteri. Vi incoraggio a disporre di una password che è lungo come consentito se il limite è qualcosa di piccolo come quello. La password dovrebbe idealmente essere lungo da 10 a 20 caratteri. Le password sono numeri e due lettere maiuscole e minuscole.
5. Restate sintonizzati per gli aggiornamenti
il bene di molti CMS open source è che hanno una buona comunità e di sicurezza fori trovati e patch. Mentre non si può decidere di eseguire l’aggiornamento a una nuova versione non appena viene rilasciato (dare una o due settimane per trovare alcun problema di sicurezza ovvio), mantenendo la versione aggiornata del suo software aiuterà immensamente.
Purtroppo, a volte questo è molto più difficile di quanto sembri. Ciò è particolarmente il caso se si dispone di un luogo molto personale in cui è stato ampiamente modificato l’originale CMS. In questi casi è necessario trovare un programma per confrontare i file (versione personalizzata e l’ultima versione aggiornata) e mostra una differenza, riga per riga. Sarà quindi necessario spostare manualmente le modifiche in tutto.
Un buon file da utilizzare se si desidera confrontare le differenze nei file sul computer Windows è ExamDiff. Il suddetto TextWrangler assumerà il compito su un Mac.
Purtroppo, anche con tutti questi metodi, si può ancora essere violato. La prossima volta vedremo le misure da prendere prima e dopo aver fatto a prepararsi per questa eventualità.