Joomla 安全小贴士 101
黑客喜欢“低垂的果实”。老练的黑客知道利用受损害的网站和服务器发动攻击的好处。
安全性至关重要,每个网站管理员都应该牢记在心。Joomla 网站就像任何其他网站一样,可能遭到黑客的攻击。在这篇文章中,我将向您介绍黑客用于入侵您的 Joomla 网站的一些策略,以及您如何通过使用非常简单的方法来保护它们。
1. 你的安全性取决于你自己的意愿
遗憾的是,确保您的网站安全永远没有100%的保证。您真正能做的就是降低风险。但如何保护自己取决于您自己。您可以实施诸如入侵检测系统(IDS)、Web 应用程序防火墙、事件记录和定期通过漏洞扫描进行漏洞评估等措施。这个列表可以一直增长。
黑客喜欢“低垂的果实”。老练的黑客知道利用受损害的网站和服务器发动攻击的好处。这给安全团队寻找攻击真正根源增加了额外挑战。不要让这些人通过使用您的网站进行黑客攻击而感到满足。确定最适合您和您公司的安全措施可能需要时间,但总比没有好。
2. 你的主题/扩展可能会背叛你
你真的知道你的 Joomla 主题中包含哪些文件吗?漏洞可能出现在最不可能的地方。早在2009年,就有一个关于用户如何利用 Yootheme Warp 5 框架中的一个参数的漏洞被披露(这个漏洞后来已经修复)。让我们看看以下虚构的例子
http://www.example.com/index.php/inicio?yt_color=%3E%22%3E%3CScRiPt%20%0a%0d%3Ealert(12346)%3B%3C/ScRiPt%3E
通过 yt_color 参数,我们能够传递跨站脚本(XSS)。你们中的一些人可能会想,“太酷了,你只是创建了一个弹出窗口。有什么大不了的!”但通过跨站脚本漏洞,你有可能执行远程文件包含、本地文件包含、窃取Cookies等等。
许多公司(希望尽快)会发布补丁来修复这些安全漏洞,以确保其客户的数据安全。跟踪您购买主题或扩展的公司是否有新更新或补丁,这对您来说是最有益的。如果您有任何问题,我涵盖了这一主题和许多其他主题,如果您有问题,请联系我!
3. 测试版或阶段网站的优点
开发者中的一种普遍担忧是更新可能会破坏他们网站的职能。无论是Joomla、扩展或主题的更新,许多人都不愿更新,或者走向另一个极端,开发者会推出更新,结果破坏了他们的网站,然后尝试将网站回滚到可工作状态。使用VMware、Virtualbox或任何其他虚拟化软件创建测试版或阶段网站非常简单。这样,您可以在将其投入生产之前轻松地检查任何更新,并能够测试更新是否会不利影响您的网站。
我曾为一家大公司提供过咨询服务,其中他们的一个开发团队对其核心基础设施进行了重大部署。公司政策是在将更新推入生产之前将其推入阶段网站。团队中的一个人决定同时将更新推到阶段网站和生产环境。结果更新破坏了两个网站,没有冗余的机会。在接下来的4个小时里,他们在周五晚上修复了这个问题。如果开发者先将其推到阶段环境,他们就可以看到它将如何影响公司,然后他们就可以知道如何进行更改和修复,而无需处于“危机模式”。
NetHosting的CEO Lane Livingston去年在Hostingcon上表示:“正是这些非测试版中的小事让我们陷入了困境”,他谈到了那些经常将事情直接上线而不是先搭建测试版或阶段网站进行演示的人。后来他还说:“一些进入网站的最简单方法是在网站管理员在上线之前没有测试事物时被发现。”
结论
我们可以在我们网站的创建中承担更多的责任。我们可以实施更好的实践和程序,以消除被认为是黑客攻击、安全漏洞或甚至间接导致我们自己的网站崩溃的原因。在当今世界,安全性需要被视为一种业务成本。Joomla在http://docs.joomla.org/Security上有很好的介绍,如何开始实施更好的网站安全,以及我最喜欢的http://docs.joomla.org/Top_10_Stupidest_Administrator_Tricks中的“十大愚蠢管理员技巧”。
在Joomla社区杂志上发表的一些文章代表了作者在特定主题上的个人观点或经验,可能不代表Joomla项目的官方立场。
通过接受,您将访问由https://magazine.joomla.net.cn/之外的第三方提供的服务
评论