有些人可能認為，在線安全正在朝著更壞的方向改變。隨著Web設備在企業中流行開來，它們也成為黑客的寵兒。

由于越來越多的公司網站運行Drupal等開源設備且運用由WordPress技術支持的企業博客，可能遭受攻擊和承受高代價利用的受害者也越來越多。960網格系統和Learning jQuery都費勁地學習過這一課。在這些公司嚴肅地看待固化開源平臺之前，令人尷尬且代價及高的攻擊造成了大破壞。其它沒有采取適當預前措施來隔絕這些危脅的公司會面臨相同的命運。

如果你已經考慮把開源設備作為企業的一部分，我們這里為你列出了一些開源Web設備造成的安全故障并提出了解決方案。

開源Web設備中的常見故障

像你一樣，黑客喜歡開源設備免費且容易訪問給定“開放”源代碼這些優點。舉例來說，如果黑客能部署腳本來盜取信息或控制單一硬件上的Web設備，他很容易就能復制這些破壞性的結果來影響用戶或分享同一代碼庫的多個網站。以下是原因：

很多開源設備依賴于容易被利用的老版腳本語言。插入開源設備的模塊必須和總項目分開來維持。由于沒有修補，這些模塊會造成整個設備的問題。

小一些的開源項目通常在長時間都是未修補的狀態。這個擴展的窗口讓你的文件處于被利用的高度危險中。

黑客創建專門造成設備故障的僵尸程序。當孜孜不倦的“工人”大軍日以繼夜地嘗試著參透密碼時，很容易就完成了利用。

鎖定管理級特權是讓網絡盜賊能夠輕易危害代碼的常見疏忽。XML-RPC之類的程序調用被頻繁利用，跨站腳本攻擊和SQL注入攻擊常給開源平臺帶來麻煩。

鎖定開源Web設備

了解就成功了一半，鎖定開源Web設備的策略很多。為了在你的在線業務獲得成功并得到終端用戶的信任，適當的保護很重要。

讓我們用兩個公司范例來做背景，討論一下常見的開源破壞及我們為達更好的保護級別所能做的事情。

當運行Textpattern CMS時，960網格系統經歷了危害操作系統的攻擊。破壞給這些壞人提供完全的服務器和FTP訪問，一旦黑客進入，他們上載了到網站的惡意且令人尷尬的圖片，目的是造成不良的搜索引擎優化利益。這類攻擊很難發現，因為對公共訪客來說，這個網站表面上運行平衡正確。運行開源Web設備時，有大量技巧可以保護960網格系統不受這些問題的危害：

設備固化（包括操作系統和數據庫）。操作系統和數據庫安裝應該仔細完成。避免默認設置并保持嚴格的許可控制。重命名文件擴展名來掩飾設備類型，并移除所有非必要的功能及特征以關閉盡可能多的虛擬“漏洞”。另外就是補丁、補丁再補丁了。特別是在開源環境中，更新成功防止了危害。相同的規則還應用在腳本語言中，這些語言可能在服務器上運用。服務器固化。移除信息（如應答標題），它們可能幫助僵尸程序或攻擊識別服務器上運行著的設備版本及類型。頻繁修補并執行服務器日志的人工檢查會幫助識別不尋常狀況。

強有力的密碼和訪問控制。使用包含數字、大小寫字母和特殊字符的密碼，千萬不要用字典術語。此外，有規律地重置它們。控制到管理密碼的訪問并只根據需求授予數據庫證書。決不要使用數據庫用戶的SA或根帳戶，限制所有公共及端口訪問來設置管理員區域，并禁止向除了80/443之外的的任何端口開放服務器，這些在各自通過HTTP/HTTPS傳遞網頁時都很需要。

系統日志監控。密切關注你的系統日志并確保沒有成功的非法登錄情況。運行故障審計并有規律地（最少一季一次）瀏覽你的設備來迅速地幫助識別威脅、破壞和可疑活動。

Learning jQuery是FireHost的一位客戶，它經歷了一次完全不同類型的攻擊：SQL注入攻擊，這種攻擊利用WordPress數據庫層的開源安全故障。WordPress和其它內容管理系統（CMS）供應商一直在為領先于SQL注入故障不懈努力，它們通過修補來前瞻性地確定故障。不幸的是，Learning jQuery的網站是這個問題的早期受害者。

周期性地，當CMS供應商還在努力保持領先位置時黑客也在創新和適應。Web設備防火墻（WAF）幫助縮小黑客創新和CMS供應商修補程序之間的差距。WAF在它能得到代碼并阻止可疑訪客獲取服務之前檢查Web流量。當WAF與入侵防護、偵測系統和其它網絡級屏障協作時，阻止攻擊的能力以指數方式增長。如果這類網絡層防護已經在適當的位置，Learning jQuery的網站也許不會遭受惡意攻擊的猛攻。

避免開源Web設備破壞

開源內容管理系統的增長和普及改變了安全形勢并讓這個過程更危險。但是有些開發者或技術工程師已經有確保Web設備（及它們的托管環境）安全的經驗，有了他們的幫助，你就能實施這些方法并阻止網絡盜賊的入侵。有適當的預防措施、注意細節且保證維持開源網站，公司的開源Web設備運用一定會成功且卓有成效。