Bezpieczeństwo skryptów Quick.Cms i Quick.Cart

Przypominamy o podstawowych zasadach bezpieczeństwa  strony internetowej.

Od pewnego czasu zespół CERT Polska działający w strukturach NASK skanuje strony internetowe pod kątem bezpieczeństwa. Opisane zostały możliwe podatności na próby włamań do paneli administracyjnych systemów Quick.Cms i Quick.Cart.

Wielu użytkowników a nawet projektantów stron zostawia domyślny adres panelu administracyjnego ryzykując włamanie do administracji. To jest najczęstsza przyczyna problemów w każdym systemie CMS.

Cert Polska wysyła czasami maile ostrzegawcze ale robi to też jedna z firm projektowych  która z jednej strony straszy a z drugiej wykorzystuje sytuację do reklamy swojej działalności zachęcając do przejścia na ich system.

Uspokajamy. Problem dotyczy tylko  administratorów nie stosujących podstawowych zasad bezpieczeństwa.

Systemy Quick.Cms.Ext i Quick.Cart.Ext są bezpieczniejsze od np. Wordpress.

Nie ma systemów w 100% bezpiecznych ale kilka podstawowych zasad pozwoli ograniczyć ryzyko.

1. Po uruchomieniu serwisu koniecznie zmień domyślną  nazwę pliku "admin.php" na inną
   pamiętając o jednoczesnej korekcie zmiennej $config['admin_file'].
2. Ustaw niebanalne hasło do panelu administracyjnego, składające się z liter i cyfr i odpowiednio długie. 
3. Po zakończeniu pracy na stronie wyloguj się z administracji.
4. Sprawdzaj poprawki publikowane w panelu administracyjnym. W przypadku pojawienia się poprawek bezpieczeństwa koniecznie wprowadź je do skryptu. Przypominamy ze klienci mający wykupiony pakiet serwisowy (nawet Mini) mają te poprawki instalowane bez dodatkowych opłat.
   
5. Zapoznaj się z opcjonalnymi niestandardowymi zabezpieczeniami oferowanymi przez projektanta strony
6. Zabezpiecz bazę danych zmieniając jej nazwę. Dowiedz się więcej na ten temat w opisie zmiennej $config['database'].
7. Zachowaj rozwagę w instalacji skryptów i dodatków niewiadomego pochodzenia.
8. Nie zapisuj danych do logowania na serwer FTP (login, hasło) w programach typu FileZilla itp.