Publiseringssystemer (CMS)
Publiseringssystemer
En teknologi som mange kommer i befatning med er såkalte CMS (content management system). Ett CMS lar deg publisere og vedlikeholde nettsider uten at du trenger å ha den dype tekniske kompetansen. Hele nettsiden administreres fra en egen seksjon av nettsiden som krever innlogging, og her kan man publisere nye artikler, endre design, installere tilleggsmoduler osv.
Eksempler på generelle CMS er WordPress og Joomla, men det finnes en mengde andre. Slike ferdige CMS-er inneholder mange gode løsninger for sikkerhet, spesielt i forhold til om noen uten spesielt mye kompetanse skulle laget tilsvarende nettsider fra bunnen av.
Dessverre er det også slik at når mange benytter det samme produktet vekkes også interessen fra hackere. Blir et sikkerhetshull i løsningen kjent vil det gå kort tid før dette er publisert og utnyttet. Det er derfor spesielt viktig å alltid holde slike CMS oppdatert. Alternativt kan man overlate driften av CMS-systemet til andre, slik det for eksempel gjøres på wordpress.com og blogg.no.
En like stor sikkerhetsutfordring er alle tilleggene i form av moduler og såkalte temaer/templates som kan lastes ned og installeres i de fleste slike CMS-er. Til et system slik som Joomla finnes det våren 2014 over 7500 tillegg i den offisielle katalogen, og mengder mer på uoffisielle kilder.
Alle slike tillegg kan bevisst inneholde ondsinnet kode fra dem som utviklet eller distribuerte tillegget. Tilleggene kan også inneholde sikkerhetshull som åpne hele systemet, selv om dette ikke var tilsiktede. Prøv derfor å alltid holde tilleggene oppdaterte, unngå å ha tillegg du ikke bruker installert/aktivert, og sjekk nøye kvaliteten på tilleggene før de installeres.
Noen konkrete råd for sikkerhet i CMS er:
- Oppdater CMS og komponenter/moduler hyppig
- I tillegg til selve webserveren, oppdater webserverens operativsystem, database og interpreter/kompilator (f.eks. php) hyppig
- Vær kritisk til installasjon av moduler/plug-ins og temaer/tempaltes
- Ikke gi personer for mye tilgang, og rydd i brukere og tilgang ofte
- Sørg for at brukere har avanserte passord
- Fjern/endre standardbrukere (spesielt admin)
- Lær opp brukere med hensyn på sikkerhet og tilpass rettigheter til forståelse
- Ha alltid en kopi av CMS-et for test. Gjør aldri instalalsjone ri hovedbloggen uten å ha testet i denne kopien først.
- Vær skeptisk til “guider” og manualer du finne rpå nett
- Husk at hackingangrep ofte er verre enn de ser ut (f.eks bakdører)