在中国 现在要做一个站长很容易,网上铺天盖地的开源建站程序可以满足您的任何需求;然而,做一个站长又是那么的难,网站每天都要面临各种各样已知未知的“威胁”,开源的cms或者论坛程序固然好用,然而用的人多,研究的人更多,出现一个小小的漏洞,官方补丁打的不及时的话,对一个网站来说,那就是灭顶之灾。
好在多亏我们广大的黑客圈朋友,要是没有他们,网络恐怕也没有现在这么安全,我们的开发商在被黑过无数次之后,程序一次次的加固,现在想找到一个discuz漏洞,或者phpcms的漏洞,比登天的难度估计差不了多少;而在黑市,这些少数人掌握的漏洞利用程序的出售价也接近天价了。
现在的cms系统程序是越来越智能了,大多数的开发商学习了国外的插件模式,主程序开发的非常简单,也就是一个框架,然后把剩下的功能都做成模块形式,用户可以选择性的使用这些功能,这样做的好处,一来可以使系统更加精简;二来,可以增强cms系统的灵活性和扩展性;那么插件的使用是否有坏处呢?答案是肯定的,不仅有坏处,而且可能会给站长朋友带来灭顶之灾!
玩过黑客的朋友都知道,想要黑一个网站,只需要找到这个网站所用程序的一个漏洞,上传一个webshell就能进而控制整个网站,而很多国内的开源cms程序,他们大多数的插件都是由用户开发上传共享给大家的,当然,分享是件好事,然而,某些别有用心的开发者,比如黑客们,制作了一些带有后门的“特殊插件”,然后发布到论坛,等待着用户的下载,一旦用户安装并使用这些插件,黑客们就可以通过内置的后门程序控制整个网站!这有点像当年传播病毒的手法哦~:)
在绿盟的漏洞开放平台,我们可以看到很多cms插件都存在各种各样的问题,毕竟大多数的开发者都是业余程序员。
看看这个discuz插件,居然还存在简单的sql注入漏洞!简直是太恐怖了!国内使用discuz做论坛的不下50W用户,哪怕1/3的用户安装了这个插件,我们都不敢想象会出现什么样的结果...
作为搞电商的站长朋友,我们该如何预防插件漏洞对网站的影响呢?
首先,不要盲目下载各类插件。不要看到新插件就图新鲜下载下来测试,这些新插件都没有经过严格的测试就发布出来了,就算没有漏洞,万一对你数据库造成破坏那也不好吧~
其次,尽量下载大量用户使用的插件。葛优说过,哪家人多我选哪家,插件也是一样,那些经久不衰,历经大家考验的插件,肯定是好插件,下载它吧,错不了!
