從 IT 安全的角度來看,Jean Lassalle 還沒有真正做到這一點。這位比利牛斯山副市長有兩個網站致力於他漫長的政治旅程:jeanlassalle2017.fr 和 jeanlassalle.fr。這兩個空間都運行在 WordPress 內容管理系統上。
如果 jeanlassalle2017.fr 上部署的版本是最新的,那麼 jeanlassalle.fr 則不是這樣,它繼續在舊版本(4.6.4,而當前版本是 4.7.3)下運行。誰說舊版本,就說潛在的缺陷。請注意,這兩個空間也受到一些未更新的應用程式的影響。駭客可能會侵入並破壞這兩個門戶,例如透過阻止它們。
其他令人尷尬的事實:這兩個網站都有向所有人開放的目錄,顯然,這些目錄也充當線上儲存位置。在那裡,我們發現了混雜在一起的寄給民選官員的信件,以收集有價值的贊助、智慧型手機號碼、讓·拉薩爾簽名的「研究」(非常適合數位盜竊)、用戶列表等。我們也可以看到管理員登入資訊。由於網站不限制身份驗證嘗試的次數,因此沒有什麼可以阻止駭客連接機器人來尋找密碼。最後,我們看到競選團隊的一名成員透過美國網路郵件雅虎收到了他的電子郵件。
最後,我們看到 Jean Lassalle 的網站是從安全角度來看疏忽創建的。 WordPress 管理員必須防止其所有目錄被讀取。對於 Jean Lassalle 來說,有必要阻止未經授權的人讀取「uploads」資料夾。在這個資料夾中,就像在專用於部落格的整個伺服器中一樣,不應保存任何敏感內容。部落格不是雲端儲存!關於訪問管理,明智的做法是激活雙重認證,因為它會嚇跑第一個經過的海盜。對於最挑剔的人來說,文件.htaccess在“admin”資料夾中就完美了。
我們於 4 月 2 日聯繫了讓·拉薩爾 (Jean Lassalle) 的競選團隊。但我們沒有收到他的回覆。
