Citat:
Originally posted by danielos@Sep 21 2008, 22:19
Skaffa en vps, lägg in mod_security och sen är koden inte så viktig längre *
|
Vi kör mod_security skarpt i vår delade miljö men det hjälper ändå inte alltid. Joomla (eller framförallt dess olika plugins) är till exempel så full av hål att det inte alltid hjälper med mod_security-plåstren. Vissa säkerhetshål är helt enkelt för subtila för att en allmän säkerhetsregel ska fånga upp hacket, inte bara i Joomla utan även i andra syste,.
I Wordpress uppdagades nyligen ett hål som ger tillgång till admin-kontot utan att använda SQL-injektioner:
http://packetstormsecurity.org/0809-...ess261-sql.txt
(vad jag förstår patchat i 2.6.2)
Allmänt gäller att kör man en färdig lösning så ska man se till att hålla den uppdaterad. Uppdatera minst en gång i månaden om det kommit en ny version, helst samma dag som den nya versionen släpps.