Продвижение Поисковая оптимизация
Звоните +7 (495) 649-68-38
Приезжайте
Реализованных проектов
0112
Количество запросов в топе
1500

Яндекс рассказал об уязвимостях распространенных CMS.

Компания Яндекс обнародовала статистику по наиболее используемым CMS и уязвимостям, которые позволяют размещать вредоносный код на взломанных сайтах. А также дала несколько рекомендаций по защите CMS.

Специалисты Яндекса установили, что наиболее уязвимы для злоумышленников тиражируемые CMS. Поскольку обнаруженные уязвимости в одной конкретной версии этой CMS создают угрозу взлома всех без исключения CMS этой версии. Чем более распространена система и чем чаще она используется на популярных сайтах, тем больше злоумышленники инвестируют финансов и сил в поиск ее уязвимостей, по сравнению с CMS собственной разработки.

Многие современные CMS состоят из множества модулей, поэтому большинство уязвимостей связаны с плагинами. А они обычно написаны хуже и имеют низкую безопасность, в отличие от основного кода системы.

Яндекс опубликовал данные о долях CMS на популярных российских ресурсах и CMS которых удалось определить:

В результате было выявлено, что частота использования многих версий CMS WordPress на обыкновенных и на зараженных сайтах приблизительно равна. Чаще всего зараженными оказываются сайты, которые используют WordPress версии 2.9.2, 3.2.1 и 3.1.3. Данные версии также широко распространены на обычных популярных ресурсах. По данным за август и сентябрь 2011 года уже выявлено 57 новых уязвимостей WordPress, и все они расположены в дополнительных компонентах. Уязвимости обнаружены в модулях: wp-slimstat, wp-forum, wordpress automatic upgrade и прочих. Версию 1. 5 CMS Joomla также одинаково часто можно встретить на обычных и на зараженных сайтах. Владельцы сайтов, использующие данную версию Joomla, также должны уделять безопасности особое внимание.

Ниже представлены рекомендации Яндекса по защите CMS:

1. Периодически проводить обновление CMS.
2. Хранить в закрытом доступе тип и версию используемой CMS и ее плагинов (не размещать их в коде страницы). Также необходимо следить за тем, чтобы сайт невозможно было найти с помощью используемых злоумышленниками специальных поисковых запросов - «дорков».
3. Отказаться от использования контрафактных версий CMS. Очень часто в них специально снижена степень безопасности или даже включены готовые backdoor’ы. К примеру, отдельные выпуски CMS DLE от M.I.D. содержат backdoor от Zloy.
4. Производить проверку всех без исключения данных, введенных пользователем на страницах сайта или передавать их напрямую серверным скриптам с помощью запросов. Для этого требуется сделать самостоятельную доработку модулей CMS. В частности, такая доработка фильтрации входных данных позволит уменьшить уязвимость DLE Shop. Чтобы протестировать эти проверки рекомендуется обратиться к специалистам по тестированию на проникновение (penetration-тестированию).
5. Использовать как можно меньше посторонних скриптов, расширений и модулей. Сами пакеты CMS обычно содержать немного уязвимостей. Основной их поставщик – различные дополнения, причем как официальные, так и сторонней разработки.
6. Работа вебмастеров и администраторов должна проходить в безопасном окружении, и они должны соблюдать правила безопасной работы в сети (не сохранять пароли в FTP-клиенте и браузере, защитить свое рабочее место с помощью антивируса и файрволла).
7. Перед установкой на веб-сервер какого - либо ПО, необходимо узнать все о его уязвимостях, а также способах их ликвидации при помощи The Open Source Vulnerability Database.

Наша специализация — работа с разными объемами и тематиками. Сайты-визитки, порталы, интернет-магазины.

Нами успешно реализовано более 113 проектов.