כיום ברשת ישנן אלפי מערכות לניהול תוכן. מערכת ניהול תוכן יכולה להיות חינמית (כמו דרופל או וורדפרס) ויכולה להיות מערכת ניהול תוכן קנויה, ואפילו ניתן לקבל את המערכת מוכנה ומולבשת על האתר כחבילה אחת. לכל מערכת ניהול תוכן רמת אבטחה משלה, ולכל סוג מערכת ניהול תוכן (חינמית, קנויה) יש את היתרונות שלה מבחינת אבטחה. אבל ברשת הרבה מאוד מהאתרים נפרצים לא בגלל קוד נכון אלא דווקא בגלל טעויות מנהל אתר. להלן כמה דוגמאות נפוצות לטעויות שכדאי מאוד להימנע מהן
סיסמת ברירת מחדל
כיום זה ממש לא דבר נפוץ לקבל מערכת ניהול תוכן עם סיסמת ברירת מחדל, אבל אם בכל זאת לא נדרשתם להזין סיסמא בשלב התקנת המערכת, חובה מהר לשנות את הסיסמה המקורית בסיסמא משלכם. האקרים מודעים לעובדה הזאת וינסו לפרוץ לאתרכם עם סיסמאות קלות וידועות של מערכות ניהול תוכן.
סיסמאות ריקות
מערכת ניהול תוכן שמאפשרת סיסמה ריקה היא באמת דבר נדיר בימינו, אך אם בכל זאת המערכת שלכם מאפשרת זאת אתם מוכרחים לשים לב שהזנת סיסמא משלך שידועה אך ורק לכם.
מערכת ניהול תוכן מעודכנת
נכון, זה ממש מעצבן להתקין עשרות עדכוני אבטחה ביום, אבל בשביל לשמור על מערכת ניהול התוכן שלכם בטוחה אתם מוכרחים להתקין עדכוני אבטחה באופן סדיר, קבוע ושכיח. האקרים עוקבים אחרי הפצות של עדכוני אבטחה, וביודעם שלא כולם מעדכנים את המערכות שלהם מיד הם מנסים להשתמש בפרצות אלו לפני שתספיקו לעדכן את מערכת ניהול תוכן שלכם.
משתנה register_globals פעיל
להרבה מכם זה לא יגיד דבר, אבל מי שמבין קצת ב-PHP חייב לוודא שמשתנה זה יהיה מכובה. אם יש לך מודולים או addons מותקנים שלא יעבדו בגלל שינוי זה - עדיף לכם בלעדיהם. עדיף למצוא מודול אחר מאשר שמישהו יפרוץ לכם למערכת ניהול תוכן.
חלוקת הרשאות נדיבה
כשאתם מגדירים את סוגי המשתמשים במערכת ניהול התוכן שלכם יש לוודא שכל המשתמשים (במיוחד הלא רשומים) יקבלו הרשאות מינימליות ככל הניתן. כמובן שאף אחד לא יעשה את הטעות של לתת הרשאות מנהל למשתמשים רגילים, אבל הרשאות מסוימות יכולות לאפשר להאקרים להכניס תכנים מזיקים וחלקי קוד אשר מסכנים את מערכת ניהול תוכן שלכם.
תוספים מסוכנים
מערכת ניהול תוכן טובה היא מערכת ניהול תוכן אשר מספקת פונקציונליות בסיסית, ומאפשרת להוריד ולהוסיף תוספים כפי הצורך. לתוספים אלו יש גישה לחלקי המערכת ולכן צריך לוודא שהתוסף בטוח, ושהאקרים לא יוכלו להשתמש בו בשביל לחדור למערכת ניהול התוכן שלכם.
כמו כן, אם אתם משתמשים במערכת ניהול תוכן חינמית ולא של חברה מסוימת המספקת לכם את התוספים, עליכם לוודא שאת התוספים אתם מורידים מאתרים בטוחים (כמו האתר של מערכת ניהול התוכן עצמה), ולנסות לראות שבדקו אותה כמה שניתן.
לסיכום ניתן לומר שטעויות אבטחה של מנהלים יש אין סוף, ותמיד צריך לחשוב על פרצות אבטחה. הנקודות שהבאתי פה הן רק טיפות בים, וכשאתם הבעלים של מערכת ניהול תוכן כלשהי - הסיכון לפריצה הוא שלכם. תמיד תחשבו צעד אחד קדימה, ונסו לבדוק איך ניתן לפרוץ לכם לתוך המערכת ותקנו את זה. אל תסמכו על מערכת ניהול תוכן כלשהי שתעשה את זה בשבילכם, כי אתם אלה שתשלמו על זה בסוף.