有些人可能認為，在線安全正在朝著更壞的方向改變。隨著Web設備在企業(yè)中流行開來，它們也成為黑客的寵兒。

由于越來越多的公司網(wǎng)站運行Drupal等開源設備且運用由WordPress技術(shù)支持的企業(yè)博客，可能遭受攻擊和承受高代價利用的受害者也越來越多。960網(wǎng)格系統(tǒng)和Learning jQuery都費勁地學習過這一課。在這些公司嚴肅地看待固化開源平臺之前，令人尷尬且代價及高的攻擊造成了大破壞。其它沒有采取適當預前措施來隔絕這些危脅的公司會面臨相同的命運。

如果你已經(jīng)考慮把開源設備作為企業(yè)的一部分，我們這里為你列出了一些開源Web設備造成的安全故障并提出了解決方案。

開源Web設備中的常見故障

像你一樣，黑客喜歡開源設備免費且容易訪問給定“開放”源代碼這些優(yōu)點。舉例來說，如果黑客能部署腳本來盜取信息或控制單一硬件上的Web設備，他很容易就能復制這些破壞性的結(jié)果來影響用戶或分享同一代碼庫的多個網(wǎng)站。以下是原因：

很多開源設備依賴于容易被利用的老版腳本語言。插入開源設備的模塊必須和總項目分開來維持。由于沒有修補，這些模塊會造成整個設備的問題。

小一些的開源項目通常在長時間都是未修補的狀態(tài)。這個擴展的窗口讓你的文件處于被利用的高度危險中。

黑客創(chuàng)建專門造成設備故障的僵尸程序。當孜孜不倦的“工人”大軍日以繼夜地嘗試著參透密碼時，很容易就完成了利用。

鎖定管理級特權(quán)是讓網(wǎng)絡盜賊能夠輕易危害代碼的常見疏忽。XML-RPC之類的程序調(diào)用被頻繁利用，跨站腳本攻擊和SQL注入攻擊常給開源平臺帶來麻煩。

鎖定開源Web設備

了解就成功了一半，鎖定開源Web設備的策略很多。為了在你的在線業(yè)務獲得成功并得到終端用戶的信任，適當?shù)谋Ｗo很重要。

讓我們用兩個公司范例來做背景，討論一下常見的開源破壞及我們?yōu)檫_更好的保護級別所能做的事情。

當運行Textpattern CMS時，960網(wǎng)格系統(tǒng)經(jīng)歷了危害操作系統(tǒng)的攻擊。破壞給這些壞人提供完全的服務器和FTP訪問，一旦黑客進入，他們上載了到網(wǎng)站的惡意且令人尷尬的圖片，目的是造成不良的搜索引擎優(yōu)化利益。這類攻擊很難發(fā)現(xiàn)，因為對公共訪客來說，這個網(wǎng)站表面上運行平衡正確。運行開源Web設備時，有大量技巧可以保護960網(wǎng)格系統(tǒng)不受這些問題的危害：

設備固化（包括操作系統(tǒng)和數(shù)據(jù)庫）。操作系統(tǒng)和數(shù)據(jù)庫安裝應該仔細完成。避免默認設置并保持嚴格的許可控制。重命名文件擴展名來掩飾設備類型，并移除所有非必要的功能及特征以關(guān)閉盡可能多的虛擬“漏洞”。另外就是補丁、補丁再補丁了。特別是在開源環(huán)境中，更新成功防止了危害。相同的規(guī)則還應用在腳本語言中，這些語言可能在服務器上運用。服務器固化。移除信息（如應答標題），它們可能幫助僵尸程序或攻擊識別服務器上運行著的設備版本及類型。頻繁修補并執(zhí)行服務器日志的人工檢查會幫助識別不尋常狀況。

強有力的密碼和訪問控制。使用包含數(shù)字、大小寫字母和特殊字符的密碼，千萬不要用字典術(shù)語。此外，有規(guī)律地重置它們。控制到管理密碼的訪問并只根據(jù)需求授予數(shù)據(jù)庫證書。決不要使用數(shù)據(jù)庫用戶的SA或根帳戶，限制所有公共及端口訪問來設置管理員區(qū)域，并禁止向除了80/443之外的的任何端口開放服務器，這些在各自通過HTTP/HTTPS傳遞網(wǎng)頁時都很需要。

系統(tǒng)日志監(jiān)控。密切關(guān)注你的系統(tǒng)日志并確保沒有成功的非法登錄情況。運行故障審計并有規(guī)律地（最少一季一次）瀏覽你的設備來迅速地幫助識別威脅、破壞和可疑活動。

Learning jQuery是FireHost的一位客戶，它經(jīng)歷了一次完全不同類型的攻擊：SQL注入攻擊，這種攻擊利用WordPress數(shù)據(jù)庫層的開源安全故障。WordPress和其它內(nèi)容管理系統(tǒng)（CMS）供應商一直在為領(lǐng)先于SQL注入故障不懈努力，它們通過修補來前瞻性地確定故障。不幸的是，Learning jQuery的網(wǎng)站是這個問題的早期受害者。

周期性地，當CMS供應商還在努力保持領(lǐng)先位置時黑客也在創(chuàng)新和適應。Web設備防火墻（WAF）幫助縮小黑客創(chuàng)新和CMS供應商修補程序之間的差距。WAF在它能得到代碼并阻止可疑訪客獲取服務之前檢查Web流量。當WAF與入侵防護、偵測系統(tǒng)和其它網(wǎng)絡級屏障協(xié)作時，阻止攻擊的能力以指數(shù)方式增長。如果這類網(wǎng)絡層防護已經(jīng)在適當?shù)奈恢?，Learning jQuery的網(wǎng)站也許不會遭受惡意攻擊的猛攻。

避免開源Web設備破壞

開源內(nèi)容管理系統(tǒng)的增長和普及改變了安全形勢并讓這個過程更危險。但是有些開發(fā)者或技術(shù)工程師已經(jīng)有確保Web設備（及它們的托管環(huán)境）安全的經(jīng)驗，有了他們的幫助，你就能實施這些方法并阻止網(wǎng)絡盜賊的入侵。有適當?shù)念A防措施、注意細節(jié)且保證維持開源網(wǎng)站，公司的開源Web設備運用一定會成功且卓有成效。