文章CMS 安全：如何確保您的網站安全

網絡上的網站數量正在增長，每年被黑客入侵的網站的百分比也在增長。 它可能是試圖利用已知漏洞或對您的組織進行直接、有針對性的攻擊的機器人。 無論哪種方式，您都應該採取會被黑客入侵的心態。 以這種方式思考將鼓勵積極的行為和更好的實踐。

如果您懷疑有人想入侵您的網站，那麼請隨時查看您的網絡日誌。 您可能會發現有人或某些機器人試圖侵入您的網絡服務器的證據。 如果您的組織知名度很高，您可能會發現它每天都在發生。 提前了解黑客攻擊是如何發生的、可能產生的影響以及如何減輕損害是勢在必行的。 讓我們來看看它們是如何發生的。

代碼漏洞

最臭名昭著的網絡攻擊之一是 OpenSSL 中的一個漏洞，稱為 Heartbleed。 OpenSSL 是在服務器上處理加密以實現安全數據交易的軟件層。 Heartbleed 並不關心您使用什麼內容管理系統 (CMS)，因為 OpenSSL 在較低級別上與 Web 服務器軟件協同工作。 這是一個非常合格​​的程序員引入的一個簡單的錯誤，這是任何人都可能犯的錯誤。

讓這個錯誤如此值得注意的是，超過三分之二的安全網站受到影響。 儘管有 100 多個 OpenSSL 貢獻者和 21,000 多個不同的代碼貢獻，但這個簡單的漏洞近三年沒有被捕獲和修補。

最新的兩個備受矚目的漏洞利用 Spectre 和 Meltdown 都利用了大多數現代計算機處理器中固有的漏洞。 它們允許共享計算機（如 Web 服務器）的用戶窺視虛擬牆，將他們的環境與運行在同一硬件上的其他站點分隔開來。

由於大多數網站依賴於數十個不同的應用程序、數百萬行代碼和數以千計的個人開發人員（不包括您網站本身的代碼），我們可以假設每個操作系統、Web 服務器、CMS 中都存在漏洞 和網站。

配置不當

網站被黑客入侵的最常見原因是初始配置不佳。 許多網站管理員都不是很有經驗，而且有很多東西要知道。 在操作系統和 CMS 中配置用戶、管理這些用戶的權限、管理防火牆規則、Web 服務器配置——不勝枚舉。 但所有這些因素對安全性都至關重要。

許多文章和操作指南只涵蓋了最低限度的內容，以使新用戶保持簡單。 這對於個人或夫妻企業來說可能很好，但對於大型的上市公司來說是不可接受的。 在這個級別上，黑客攻擊不僅僅是一種不便。 它們會對企業產生嚴重影響。

缺乏維護

當發現代碼漏洞時，會創建補丁，並在漏洞向公眾公佈之前給用戶時間升級他們的系統。 可悲的是，許多網站沒有定期修補。 回到我們的 Heartbleed 示例，在補丁發布三年多後，仍有超過 200,000 台 Web 服務器運行舊的、易受攻擊的 OpenSSL 版本。

現代內容管理系統具有層層疊疊的應用程序。 典型的 WordPress 安裝將具有 Linux 操作系統、Web 服務器軟件、PHP、MySQL 和任意數量的插件。 所有這些事情都必須不斷地監控和維護。 事實上，許多服務提供商根本無法跟上。

人類作為人類

代碼漏洞和缺乏維護可能看起來很可怕，但與讓人類使用您的 CMS 帶來的風險相比，它們可能相形見絀。 我們 人類始終是目標攻擊中最薄弱的環節和主要代理。

每個人都想樂於助人，看起來很聰明，這使我們天生就容易受到社會工程學的影響。 某些請求應引起警鐘響起，例如：

• “嗨，我是 IT 部門的 Bob。我們正在從你的機器中檢測到一些異常流量……”
• “我會按照你的方式發送一些診斷工具，然後……”
• “你是我們的超級用戶之一，所以你能幫我……”

不幸的是，這些技術通常適用於弱勢群體。

另一個常見的陷阱是糟糕的密碼實踐。 快速瀏覽此常用密碼列表。 有什麼似曾相識的嗎？ 其中任何一個看起來像您的密碼的根或使用類似的技術嗎？

如果是這樣，您的解決方案既不獨特也不聰明，您應該立即更改密碼！ 蠻力攻擊將從這樣的列表開始，引入變體並可能在幾分鐘內找到您的密碼。

除了窮 密碼選擇是跨多個站點重用同一個。 如果您的密碼在一個站點上被洩露，並且您在其他地方使用過該密碼，那麼您就有麻煩了。

如何確保您的網站安全

任何說“我們不能被黑客入侵”的人都是在誘惑命運，但您可以將風險降到最低。 以下是您可以實施的一些基本保護措施和流程，以保護網站免受不良行為者的侵害。

良好的安全習慣

您的用戶可以做一些簡單的事情來顯著降低他們的憑據被洩露的風險：

• 使用“短語”密碼。 根據美國國家標準與技術研究院的數據， 密碼短語更令人難忘和安全。 帶有特殊字符和數字的密碼要求沒有那麼有效。
• 使用密碼管理器。 密碼管理器將幫助確保您在每個站點上使用唯一的密碼。 您還可以建立和執行您自己的密碼準則。
• 教授社會工程學的藝術。 為用戶提供在它發生時識別它的知識，以及在它成功之前關閉它的信心。

定期維護

始終使用安全補丁和新版本使軟件保持最新。 如果您不負責維護您的 Web 服務器，請聯繫您的所有服務提供商以了解有關他們的流程的詳細信息，以確保您的技術堆棧運行最新的關鍵補丁。

這包括操作系統、Web 服務、 服務器端解析器、內容管理系統、數據庫和所有插件。

良好的維護實踐擴展到網絡之外的硬件 服務器例如交換機和防火牆。 這些設備必須像您對 Web 服務器一樣保持警惕和關注。

請記住，每當發現新的漏洞利用時，您都會不情願地發現自己與壞人競爭。 您必須在補丁找到您之前將其安裝到位。 有許多要採取的行動和要監控的項目，因此維護 Web 服務器是一項全職工作。

使您的授權用戶列表保持最新，並始終刪除已離開您組織的用戶。 協調處理終止的計劃，因為心懷不滿的工人可能會在短期內造成很大的損害。

消除攻擊媒介

為您的網站增加代碼和復雜性的每一層也會引入潛在的漏洞，因此請保持您的技術堆棧盡可能精簡和簡單。 刪除所有不必要的應用程序和服務。 僅運行您的網站和 CMS 運行所需的服務。

在您的網站、CMS 或其他必要服務所需的端口上僅允許到您的 Web 服務器的入站流量。 公開您不使用的服務是沒有意義的。

限制您的網絡或 VPN 上的用戶訪問您的 CMS。 這可能會影響您的內容管理員，因此請仔細考慮此權衡。

保持輪換備份

參考前面的觀點，最安全的心態是假設您將被黑客入侵。 它強調了保持良好備份的價值。 一個徹底的備份計劃可能包括保留六次輪換的每日備份、每四個星期、每六個月和每年一次的備份。

因為黑客並不總是立即被發現，所以你永遠不知道你可能需要走多遠。 每日一次備份是有風險的。

另請注意，僅設置備份計劃是不夠的。 您必須定期驗證所有備份是否正在運行，並且您可以及時從任何這些備份中恢復。 想像一下，只有在您被黑客入侵後才發現您的備份無法正常工作……這不是人們想要發現的場景。

那麼SAM呢？

SAM 的一些獨特屬性使得使用此工具構建的站點比使用其他內容管理系統構建的站點更難破解。

SAM 是一個保持更新的單一應用程序，因為它沒有插件，只需要作為 Windows Server 操作系統核心組件的基本服務。 如果您依賴 Microsoft 的自動更新，您的服務器將始終被修補。

更值得注意的是，SAM 是一個靜態站點生成器。 大多數內容管理系統會在用戶請求時按需生成頁面，但靜態站點生成器的工作原理是在內容髮生更改時生成頁面並將其發佈到文件系統。

用戶查看實時網站不需要 CMS，SAM 可以隱藏在您的網絡中。 換句話說，沒有公開可見的 CMS 可以破解！ 我們的大多數客戶從未意識到這種區別，但它是真正使 SAM 與眾不同的品質。

參考資料和資源

• 網站被黑趨勢報告
• NoHacked：一年回顧
• 網站安全：網站如何被黑客入侵？
• 他們如何破解您的網站：常用技術概述
• 2017 年 11 月 Web 服務器調查
• 心血蟲
• 崩潰和幽靈
• NIST 數字身份指南
• 2016 年最糟糕的密碼