Se você gerencia um Sistema de Gerenciamento de Conteúdo (CMS), deve-te interessar na alerta elaborada pela Public Safety Canada e o Department of Homeland Security

Fazendo uma pesquisa sobre as metodologias para a realização de Testes de Intrusão, encontrei a alerta TA13-024A titulada “Content Management Systems Security and Associated Risks”, elaborada pela Public Safety Canada  e o U.S Department of Homeland Security no 2014 e atualizada em outubro do ano 2015.

Contém recomendações muito concretas e simples que pode ajudar a fortalecer a segurança do Sistema de Gerenciamento de Conteúdo (CMS) que esteja utilizando. No blog já tinha abordado sobre o tema da necessidade de manter atualizada a tecnologia apóie mas esta alerta, que em meu critério está muito vigente, trata outras questões, as quais tratei das traduzir o melhor possível. Se você for como eu que prefiero ler os documentos técnicos em inglês, pode encontrar o documento original no seguinte hiperligação.

Estás são as soluções que se propõem na alerta:

  • Realize um controle moderado sobre a criação de contas de usuários no CMS, especialmente nas criadas de forma automática.
  • Assegure-se que o sistema operacional, os serviços e pacotes de software, especialmente os plugin de terceiros, estejam atualizados.
  • Aproveite as propriedades de segurança do arquivo .htaccess do servidor web Apache (ou funções de controle de acesso equivalentes no Nginx ou Microsoft IIS).
  • Revise que as permissões das contas e arquivos estejam estabelecidos corretamente. Troque o usuário e palavra-chave da conta de administração por defeito.
  • Reforce as políticas das palavras-chaves das contas.
  • Limite o acesso a arquivos contendo os números de versões para que seja difícil detectar quais são os exploits que podem usar-se em contra do CMS.
  • Implemente certificados SSL e assegure que não possam estabelecer-se conexões sem cifrar.
  • Remover os serviços que não se utilizem e os arquivos associados.
    Considere o uso de um sistema de seguimento da segurança de seu CMS.

Até aqui as soluções que propõem as entidades de segurança do Canadá e EE.UU, ¿Crie que há outras práticas que podem aplicar-se para melhorar a segurança nos CMS? ¿Aplica-se estas práticas ou só algumas? Acredito que seria bom partilhar outras experiências que possam servir a outros leitores do blog.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s