电商安全谈cms,discuz等开源建站程序漏洞防护

在中国 现在要做一个站长很容易，网上铺天盖地的开源建站程序可以满足您的任何需求；然而，做一个站长又是那么的难，网站每天都要面临各种各样已知未知的“威胁”，开源的cms或者论坛程序固然好用，然而用的人多，研究的人更多，出现一个小小的漏洞，官方补丁打的不及时的话，对一个网站来说，那就是灭顶之灾。

好在多亏我们广大的黑客圈朋友，要是没有他们，网络恐怕也没有现在这么安全，我们的开发商在被黑过无数次之后，程序一次次的加固，现在想找到一个discuz漏洞，或者phpcms的漏洞，比登天的难度估计差不了多少；而在黑市，这些少数人掌握的漏洞利用程序的出售价也接近天价了。

现在的cms系统程序是越来越智能了，大多数的开发商学习了国外的插件模式，主程序开发的非常简单，也就是一个框架，然后把剩下的功能都做成模块形式，用户可以选择性的使用这些功能，这样做的好处，一来可以使系统更加精简；二来，可以增强cms系统的灵活性和扩展性；那么插件的使用是否有坏处呢？答案是肯定的，不仅有坏处，而且可能会给站长朋友带来灭顶之灾！

玩过黑客的朋友都知道，想要黑一个网站，只需要找到这个网站所用程序的一个漏洞，上传一个webshell就能进而控制整个网站，而很多国内的开源cms程序，他们大多数的插件都是由用户开发上传共享给大家的，当然，分享是件好事，然而，某些别有用心的开发者，比如黑客们，制作了一些带有后门的“特殊插件”，然后发布到论坛，等待着用户的下载，一旦用户安装并使用这些插件，黑客们就可以通过内置的后门程序控制整个网站！这有点像当年传播病毒的手法哦~:)

在绿盟的漏洞开放平台，我们可以看到很多cms插件都存在各种各样的问题，毕竟大多数的开发者都是业余程序员。

看看这个discuz插件，居然还存在简单的sql注入漏洞！简直是太恐怖了！国内使用discuz做论坛的不下50W用户，哪怕1/3的用户安装了这个插件，我们都不敢想象会出现什么样的结果...

作为搞电商的站长朋友，我们该如何预防插件漏洞对网站的影响呢？

首先，不要盲目下载各类插件。不要看到新插件就图新鲜下载下来测试，这些新插件都没有经过严格的测试就发布出来了，就算没有漏洞，万一对你数据库造成破坏那也不好吧~

其次，尽量下载大量用户使用的插件。葛优说过，哪家人多我选哪家，插件也是一样，那些经久不衰，历经大家考验的插件，肯定是好插件，下载它吧，错不了！

再者，不要到不知名的软件下载网站下载插件，尽量到官方网站下载认证过的插件。电商圈下载博客插件都是去官方网站下载，最起码官方不会坑咱吧

最后，在这里对国内的开发商们说一声，对网站插件要进行定期检测公布管理，甚至可以组织网站程序员对插件进行安全检测，为用户提供这样的安全服务，又可以为自己创造效益，双赢的事，何乐而不为呢？学习下wordpress，现在有30000多个插件了，但是他们把每一个插件都经过严格认证后才发布到官方网站上！这种精神难道不值得所有国内开发商学习吗！

在这里也给各位小黑老黑们说声：做站长的，起的比鸡早，睡的比狗晚，每天累死累活的更新网站，只求解决个温饱问题，一旦被人黑了网站，连饭都没得吃，这些人都是在用自己的生命赚钱，赚小钱养家糊口，都是穷苦百姓，还希望你们能高抬贵手，放过这群可怜的草根们吧！

ibxboy，首发电商圈博客http://www.ibxboy.com