文章CMS 安全:如何确保您的网站安全

已发表: 2022-08-12

网络上的网站数量正在增长,每年被黑客入侵的网站的百分比也在增长。 它可能是试图利用已知漏洞或对您的组织进行直接、有针对性的攻击的机器人。 无论哪种方式,您都应该采取会被黑客入侵的心态。 以这种方式思考将鼓励积极的行为和更好的实践。

如果您怀疑有人想入侵您的网站,请查看您的网络日志。 您可能会发现有人或某些机器人试图侵入您的网络服务器的证据。 如果您的组织知名度很高,您可能会发现它每天都在发生。 提前了解黑客攻击是如何发生的、可能产生的影响以及如何减轻损害是势在必行的。 让我们来看看它们是如何发生的。

代码漏洞

最臭名昭著的网络攻击之一是 OpenSSL 中的一个漏洞,称为 Heartbleed。 OpenSSL 是在服务器上处理加密以实现安全数据交易的软件层。 Heartbleed 并不关心您使用什么内容管理系统 (CMS),因为 OpenSSL 在较低级别上与 Web 服务器软件协同工作。 这是一个非常合格的程序员引入的一个简单的错误,这是任何人都可能犯的错误。

让这个错误如此值得注意的是,超过三分之二的安全网站受到影响。 尽管有 100 多个 OpenSSL 贡献者和 21,000 多个不同的代码贡献,但这个简单的漏洞近三年没有被捕获和修补。

最新的两个备受瞩目的漏洞利用 Spectre 和 Meltdown 都利用了大多数现代计算机处理器中固有的漏洞。 它们允许共享计算机(如 Web 服务器)的用户窥视虚拟墙,将他们的环境与运行在同一硬件上的其他站点分隔开来。

由于大多数网站依赖于数十个不同的应用程序、数百万行代码和数以千计的个人开发人员(不包括您网站本身的代码),我们可以假设每个操作系统、Web 服务器、CMS 中都存在漏洞网站。

配置不当

网站被黑客入侵的最常见原因是初始配置不佳。 许多网站管理员都不是很有经验,而且有很多东西要知道。 在操作系统和 CMS 中配置用户、管理这些用户的权限、管理防火墙规则、Web 服务器配置——不胜枚举。 但所有这些因素对安全性都至关重要。

许多文章和操作指南只涵盖了最低限度的内容,以使新用户保持简单。 这对于个人或夫妻企业来说可能很好,但对于大型的上市公司来说是不可接受的。 在这个级别上,黑客攻击不仅仅是一种不便。 它们会对企业产生严重影响。

缺乏维护

当发现代码漏洞时,会创建补丁,并在漏洞向公众公布之前给用户时间升级他们的系统。 可悲的是,许多网站没有定期修补。 回到我们的 Heartbleed 示例,在补丁发布三年多之后,仍然有超过 200,000 台 Web 服务器运行旧的、易受攻击的 OpenSSL 版本。

现代内容管理系统具有层层叠叠的应用程序。 典型的 WordPress 安装将具有 Linux 操作系统、Web 服务器软件、PHP、MySQL 和任意数量的插件。 所有这些事情都必须不断地监控和维护。 事实上,许多服务提供商根本无法跟上。

人类作为人类

代码漏洞和缺乏维护可能看起来很可怕,但与让人类使用您的 CMS 带来的风险相比,它们可能相形见绌。 我们 人类始终是目标攻击中最薄弱的环节和主要代理。

每个人都想乐于助人,看起来很聪明,这使我们天生就容易受到社会工程学的影响。 某些请求应引起警钟响起,例如:

  • “嗨,我是 IT 部门的 Bob。我们正在从你的机器中检测到一些异常流量……”
  • “我会按照你的方式发送一些诊断工具,然后……”
  • “你是我们的超级用户之一,所以你能帮我……”

不幸的是,这些技术通常适用于弱势群体。

另一个常见的陷阱是糟糕的密码实践。 快速浏览此常用密码列表。 有什么似曾相识的吗? 其中任何一个看起来像您的密码的根或使用类似的技术吗?

如果是这样,您的解决方案既不独特也不聪明,您应该立即更改密码! 蛮力攻击将从这样的列表开始,引入变体并可能在几分钟内找到您的密码。

除了穷 密码选择是跨多个站点重用同一个。 如果您的密码在一个站点上被泄露,并且您在其他地方使用过该密码,那么您就有麻烦了。

如何确保您的网站安全

任何说“我们不能被黑客入侵”的人都是在诱惑命运,但您可以将风险降到最低。 以下是您可以实施的一些基本保护措施和流程,以保护网站免受不良行为者的侵害。

良好的安全习惯

您的用户可以做一些简单的事情来显着降低他们的凭据被泄露的风险:

  • 使用“短语”密码。 根据美国国家标准与技术研究院的数据, 密码短语更令人难忘和安全。 带有特殊字符和数字的密码要求没有那么有效。
  • 使用密码管理器。 密码管理器将帮助确保您在每个站点上使用唯一的密码。 您还可以建立和执行您自己的密码准则。
  • 教授社会工程学的艺术。 为用户提供在它发生时识别它的知识,以及在它成功之前关闭它的信心。

定期维护

始终使用安全补丁和新版本使软件保持最新。 如果您不负责维护您的 Web 服务器,请联系您的所有服务提供商以了解有关他们的流程的详细信息,以确保您的技术堆栈运行最新的关键补丁。

这包括操作系统、Web 服务、 服务器端解析器、内容管理系统、数据库和所有插件。

良好的维护实践扩展到网络之外的硬件 服务器例如交换机和防火墙。 这些设备必须像您对 Web 服务器一样保持警惕和关注。

请记住,每当发现新的漏洞利用时,您都会不情愿地发现自己与坏人竞争。 您必须在补丁找到您之前将其安装到位。 有许多要采取的行动和要监控的项目,因此维护 Web 服务器是一项全职工作。

使您的授权用户列表保持最新,并始终删除已离开您组织的用户。 协调处理终止的计划,因为心怀不满的工人可能会在短期内造成很大的损害。

消除攻击媒介

为您的网站增加代码和复杂性的每一层也会引入潜在的漏洞,因此请保持您的技术堆栈尽可能精简和简单。 删除所有不必要的应用程序和服务。 仅运行您的网站和 CMS 运行所需的服务。

在您的网站、CMS 或其他必要服务所需的端口上仅允许到您的 Web 服务器的入站流量。 公开您不使用的服务是没有意义的。

限制您的网络或 VPN 上的用户访问您的 CMS。 这可能会影响您的内容管理员,因此请仔细考虑此权衡。

保持轮换备份

参考前面的观点,最安全的心态是假设您将被黑客入侵。 它强调了保持良好备份的价值。 一个彻底的备份计划可能包括保留六次轮换的每日备份、每四个星期、每六个月和每年一次的备份。

因为黑客并不总是立即被发现,所以你永远不知道你可能需要走多远。 每日一次备份是有风险的。

另请注意,仅设置备份计划是不够的。 您必须定期验证所有备份是否正在运行,并且您可以及时从任何这些备份中恢复。 想象一下,只有在您被黑客入侵后才发现您的备份无法正常工作……这不是人们想要发现的场景。

那么SAM呢?

SAM 的一些独特属性使得使用此工具构建的站点比使用其他内容管理系统构建的站点更难破解。

SAM 是一个保持更新的单一应用程序,因为它没有插件,只需要作为 Windows Server 操作系统核心组件的基本服务。 如果您依赖 Microsoft 的自动更新,您的服务器将始终被修补。

更值得注意的是,SAM 是一个静态站点生成器。 大多数内容管理系统会在用户请求时按需生成页面,但静态站点生成器的工作原理是在内容发生更改时生成页面并将其发布到文件系统。

用户查看实时网站不需要 CMS,SAM 可以隐藏在您的网络中。 换句话说,没有公开可见的 CMS 可以破解! 我们的大多数客户从未意识到这种区别,但它是真正使 SAM 与众不同的品质。

参考资料和资源

  • 网站被黑趋势报告
  • NoHacked:一年回顾
  • 网站安全:网站如何被黑客入侵?
  • 他们如何破解您的网站:常用技术概述
  • 2017 年 11 月 Web 服务器调查
  • 心血虫
  • 崩溃和幽灵
  • NIST 数字身份指南
  • 2016 年最糟糕的密码