Почему CMS платформы — излюбленная цель хакеров
11.09.2014
Почему CMS платформы — излюбленная цель хакеров
Как веб-мастерам защитить свои сайты от CMS уязвимостей

Что общего у WordPress, Joomla и Drupal?

Во-первых, это самые популярные системы управления контентом (CMS) на сегодняшний день. Согласно статистическим данным от компании Web Technology Surveys, на этих трех платформах создано более 75% всех сайтов, работающих на CMS. Во-вторых, WordPress, Joomla и Drupal – это излюбленная цель хакеров.

Исследование WP White Security показало, что 73% всех установленных WordPress имеют известные уязвимости, которые могли быть легко обнаружены средствами автоматической идентификации.

Почему CMS платформы настолько уязвимы?

Легко предположить, раз WordPress, Joomla и Drupal узнаваемые бренды, то они должны предоставлять определенную защиту. Однако, на практике это не верно. Дело в том, что CMS уязвимы по своей природе, так как они разработаны на open source источниках. Такие общие среды разработки предлагают несколько преимуществ, но также имеют и определенные недостатки, многие из которых возникают из-за отсутствия подотчетности.

При отсутствии ценника и того, кто несет прямую ответственность за потенциальные проблемы, неудивительно, что конечный продукт имеет некоторые проблемы в безопасности.

С ростом популярности CMS-систем, активно повышается спрос и на их уязвимости, как у исследователей безопасности, так и у членов хакерского сообщества.

Обнаруженные однажды уязвимости могут превратиться в виртуальный золотой прииск для хакеров, создавая эффективный способ выполнения автоматизированных массовых атак.

Дополнительные проблемы создают и сами веб-мастера, которые используют слабые пароли, делая свои учетные записи администратора уязвимыми для автоматизированных brute force атак (атак подбора пароля).

Очевидно, имея доступ к административной части сайта, хакеры могут нанести различные виды ущерба: начиная от порчи сайта (ради развлечения), заканчивая его использованием для распространения вредоносных программ. В конечном итоге это приводит к помещению веб-сайта в черный список Яндекса, Google и других поисковых систем.

Так же не будем забывать, что существует множество CMS плагинов и тем, которые тоже подвергаются атакам. Каждые из них созданы разными разработчиками и могут включать дополнительный набор уязвимостей.

Недавнее исследование показало, что более 20% из пятидесяти самых популярных WordPress плагинов были уязвимы для взлома, в это же время восемь миллионов уязвимых плагинов были скачаны с самого WordPress.

Учитывая, что большинство пользователей скачало не менее 3-4 плагинов, теперь работающих на их CMS-платформе, с высокой долей вероятности их сайты подвергнутся новым рискам безопасности в ближайшем будущем.

Что делать веб-мастерам для защиты своего сайта от CMS уязвимостей

Есть целый ряд способов защитить свой сайт, например:

  • Создать график регулярных обновлений или патчей для CMS и всех установленных плагинов и тем. Это даст гарантию, что все компоненты будут вовремя обновляться до последних версий. CMS платформы, как правило, выводят сообщение о появлении обновлений прямо в интерфейсе админ-панели. Веб-мастера должны как можно быстрее установить обновление.
  • Делать регулярные резервные копирования CMS и ее основной базы данных. Такая процедура должна выполняться минимум раз в неделю.
  • Подписаться на рассылку регулярно обновляемого списка уязвимостей для используемой CMS (например, WordPress).
  • Удалить имена учетных записей администратора, установленные по-умолчанию (например, "администратор") и использовать надежные пароли - длиной не менее восьми символов, с использованием комбинации верхнего и нижнего регистра, а также букв и цифровых символов.
  • Использовать плагин для строгой аутентификации, или двухфакторной аутентификации (2FA) для дополнительного уровня защиты.

Защита с помощью Web Application Firewall

Для автоматической защиты от всех уязвимостей CMS используется Web Application Firewall (WAF).

WAF – это продукт корпоративного класса для безопасности веб-сайтов, доступный в качестве приложения, плагина для сервера или (как в случае с Incapsula) SaaS услуги.

Работа WAF заключается в мониторинге вводимых пользователем данных, с использованием массивной библиотеки правил безопасности для идентификации и блокирования известных способов атак.

Характерная черта WAF от Incapsula — это использование краудсорсинговой модели безопасности. В исследовательском центре Incapsula тщательно анализируют данные по атакам, собранные от всех обслуживаемых веб-сайтов. Полученная информация используется для своевременного выявления сверхновых угроз и обновления правил безопасности на уровне всего сообщества пользователей Incapsula. Это позволяет системе безопасности постоянно самообучаться. Также благодаря собственной базе знаний, Incapsula использует политики безопасности на несигнатурной основе, которые идентифицируют отклоняющееся поведение и подозрительные IP-адреса. Кроме того, Incapsula включает в себя двухфакторную аутентификацию (2FA), гарантируя защиту административной панели сайта.

Для сайтов, желающих подключить Incapsula, но уже имеющих брешь, сервис предлагает обнаружение и удаление уязвимостей. С помощью Incapsula можно удалить установленные хакерами вредоносные программы и поднять безопасность сайта на качественно новый уровень.