Her ligger de største sikkerhetshullene i WordPress, Drupal, Typo3 og Joomla!


cms-sikkerhetshull

De tyske myndighetenes sikkerhetskontor, BSI, sier at de største sikkerhetshullene i WordPress, Drupal, Typo3 og Joomla! ligger i de mange add-ons (også kalt plug-ins) som finnes til disse CMS-systemene. Dette melder The H-Online.

Det er med andre ord ikke selve kildekoden (systemkjernen) til disse programmene som inneholder de største sårbarhetene, men alle de add-ons som kan legges til programmet for å tilføre nettstedet ønsket funksjonalitet.

Over 80% av sikkerhetshullene ligger i systemets add-ons

Ifølge H-Online ligger kun 20 prosent av sikkerhetshullene til WordPress i selve systemkjernen, mens 80 prosent ligger i de mange add-ons som finnes til WordPress.

For Drupal er situasjonen enda mer ekstrem. Her ligger 95 prosent av sikkerhetshullene i systemets add-ons, mens joomla! har 86 prosent av sine sikkerhetshull knyttet til systemets add-ons.

Cross-site scripting (XSS) er det vanligste problemet

BSI konkluderer også med at det vanligste sikkerhetsproblemet i disse CMS systemene er Cross-site scripting (XSS). Grafen under viser størrelsene på de ulike sikkerhetshullene som ble avdekket:


Hele CMS-sikkerhetsrapporten kan du lese på tysk her (PDF).

Hva kan du gjøre for å sikre ditt CMS system?

Nå som du vet hvor de største sikkerhetshullene ligger gjelder det å tette dem, slik at hackere ikke kommer inn ved å utnytte dem.

Bruk et unikt brukernavn – ikke velg admin, root eller administrator

WordPress, Drupal, Typo3 og Joomla! kommer standard opp med et forslag til brukernavn når du skal installere programmet. Ikke bruk dette brukernavnet, da hackerne også vet hvilket brukernavn systemet standard foreslår for brukeren. Bruker du dette brukernavnet trenger de bare å finne korrekt passord for å kunne logge seg inn.

Velg heller et annet navn og velg ett brukernavn som ikke er innlysende, for å gjøre det vanskeligere for hackere å bryte seg inn via et brute-force angrep.

Benytt et kompleks passord som du bytter regelmessig

Har du et passord på bare 5 bokstaver og benytter et ord som står i den norske eller engelske ordlisten eller i et av de store leksikonene kan en hacker klare å bryte seg inn i løpet av 1-2 timer gjennom et brute-force angrep fra et større botnet.

Følg disse passordreglene og velg et kompleks passord som består av:

  • Minimum 8 tegn
  • Store og små bokstaver, tall og et spesialtegn
  • Er et ord som ikke står i noen ordlister eller store leksikon

Oppdater programvaren og alle add-ons regelmessig

Utviklerne av CMS systemet og de add-ons som du bruker lager hele tiden nye oppdateringer for å stenge de sikkerhetshullene som finnes. For å sikre nettstedet ditt må du jevnlig oppdatere både programvaren og de add-ons du bruker.

Flere programmer gir deg muligheten til å sette på «installer oppdateringer automatisk». Har du dette valget bør du sette dette på, slik at systemet oppdaterer seg selv automatisk hver gang en oppdatering kommer.

Benytter du WordPress får du beskjed om at det finnes nye oppdateringer hver gang du logger deg inn på dashbordet (kontrollpanelet) til WordPress. Ser du en slik melding, må du oppdatere løsningen og plug-insene dine umiddelbart for å gjøre installasjonen din så sikker som mulig.

Detter er en god start, men langt fra nok til å gjøre ditt CMS system sikkert. Ønsker du å gjøre nettstedet ditt sikkert anbefaler vi deg å lese «Slik sjekker du sikkerheten til dine hjemmesider og webhotell«

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden - innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

Kunnskapssenteret.com Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.
Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter - små og store - fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.
Fyll ut skjemaet under for å tipse oss om en nyhet.

Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift ("emne"), med nærmere informasjon ("melding").

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 



Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: