从 IT 安全的角度来看,Jean Lassalle 还没有真正做到这一点。这位比利牛斯山副市长有两个网站致力于他漫长的政治旅程:jeanlassalle2017.fr 和 jeanlassalle.fr。这两个空间都运行在 WordPress 内容管理系统上。
如果 jeanlassalle2017.fr 上部署的版本是最新的,那么 jeanlassalle.fr 则不是这样,它继续在旧版本(4.6.4,而当前版本是 4.7.3)下运行。谁说旧版本,就说潜在的缺陷。请注意,这两个空间还受到一些未更新的应用程序的影响。黑客可能会侵入并破坏这两个门户,例如通过阻止它们。
其他令人尴尬的事实:这两个网站都有向所有人开放的目录,显然,这些目录也充当在线存储位置。在那里,我们发现了混杂在一起的寄给民选官员的信件,以收集有价值的赞助、智能手机号码、让·拉萨尔签名的“研究”(非常适合数字盗窃)、用户列表等。我们还可以看到管理员登录信息。由于该网站不限制身份验证尝试的次数,因此没有什么可以阻止黑客连接机器人来查找密码。最后,我们看到竞选团队的一名成员通过美国网络邮件雅虎收到了他的电子邮件。
最后,我们看到 Jean Lassalle 的网站是从安全角度来看疏忽创建的。 WordPress 管理员必须防止其所有目录被读取。对于 Jean Lassalle 来说,有必要阻止未经授权的人读取“uploads”文件夹。在这个文件夹中,就像在专用于博客的整个服务器中一样,不应保存任何敏感内容。博客不是云存储!关于访问管理,明智的做法是激活双重认证,因为它会吓跑第一个经过的海盗。对于最挑剔的人来说,文件.htaccess在“admin”文件夹中就完美了。
我们于 4 月 2 日联系了让·拉萨尔 (Jean Lassalle) 的竞选团队。但我们没有收到他的回复。
