近期，業內出現攻擊者大規模利用MongoDB 未授權漏洞，使用腳本通過掃描公網，成功爆破MongoDB未授權讀取數據庫、Ransoware攻擊、剝奪原有數據。此漏洞影響幾乎全球的MongoDB用戶，因此業內建議廣大的MongoDB用戶需要重視且加強保護，建立安全可控的網絡環境，實施有效的防護措施，加強線上安全防護力度，預防被攻擊。

MongoDB未授權漏洞是由于MongoDB未開啟身份驗證，導致外部可以無限連接，從而可以實現MongoDB未授權訪問，訪問者完全可以做任何操作，從而被攻擊者利用，很多公司的用戶信息被盜，甚至利用Ransoware攻擊使數據庫及系統遭受重大損失。

因此MongoDB用戶需要重視安全，加強MongoDB的安全控制：

1、使用更強的密碼，強制密碼更新機制等；

2、實施限制外部IP訪問數據庫；

3、 將訪問端口從默認端口27017更改為其他不常用的端口；

4、在偵測外部攻擊時，及時阻止IP,攜帶惡意腳本的客戶端；

5、 啟動數據庫身份驗證；

比如，(MongoDB 2.6版本)啟動身份驗證，通過./mongo –qosp指令或者在mongo.conf文件中添加配置項”auth=true”來開啟數據庫；

6、禁止公網訪問，僅允許可信公司訪問等；

7、定期檢查Mongo的安全，及時發現漏洞和用戶操作不當；

這樣，MongoDB用戶就可以大大減少漏洞被攻擊的風險，從而提高系統的安全性。總之，MongoDB的安全性是用戶需要自覺加大保護力度的，只有正確的使用方法才能保證數據安全。