среда, 21 сентября 2011 г.

WordPress, DLE, Joomla - самые уязвимые и самые популярные в России CMS. Рекомендации по безопасности

Как-то я писал пост про самые популярные системы управления контентом "ТОП-20 самых популярных CMS (систем управления сайтом) самых популярных сайтов в мире". Яндекс не так давно провел исследование на предмет популярности систем управления контентом на базе которых работают наиболее посещаемые российские сайты. Более того, специалисты яндекса исследовали также и уязвимость этих сайтов.
Под уязвимостью понимается несанкционированный взлом и размещение вредоносных прогамм (вирусов, тех же блокеров вымогателей), а также контента (например с целью продвижения в поисковых системах)вопреки воли владельца сайта.
Картина получилась интересная.



Самыми популярными CMS, если не считать самописных и глубоко переаботанных на наиболее посещаемых сайтах стали WordPress, Joomla и Typo3.
Их доля составила:
WordPress - 64%
Joomla -23%
Typo -3%
То есть 90%! Битрикс и прочее отдыхает.
А вот данные по уязвимости впечатлили. Оказалось самой уязвимой платформа DLE. Тройка "лидеров" выглядит так
DLE - 50%
WordPress - 19%
Joomla -19%
Понятно что DLE явно выбивается из обычного ряда. Однако проблемы уязвимости общие для всех типов управления контентом. Чтобы минимализировать риск пострадать от хакеров Яндекс рекомендует следующие меры безопасности:
  • Регулярно обновляйте CMS.
  • Скрывайте тип и версию установленной CMS и её плагинов, не указывайте их в коде страницы. Кроме того, нужно следить за тем, чтобы сайт нельзя было обнаружить с помощью специальных поисковых запросов-«дорков», которые злоумышленники используют для поиска уязвимых CMS.
  • Не используйте контрафактные версии CMS – в некоторых случаях в них умышленно снижена степень безопасности или даже внедрены готовые backdoor’ы (пример – некоторые выпуски CMS DLE от M.I.D. с backdoor от Zloy).
  • Проверяйте все без исключения данные, которые пользователь может ввести на страницах сайта или напрямую передать серверным скриптам при помощи запросов. Это может потребовать самостоятельной доработки модулей CMS. Например, такая доработка фильтрации входных данных позволяет снизить уязвимость DLE Shop. Для тестирования этих проверок рекомендуем привлечь специалистов по тестированию на проникновение (penetration-тестированию).
  • Использовать минимум сторонних скриптов, модулей, расширений. В самих пакетах CMS уязвимостей обычно немного, в основном они приходятся на дополнения, причём как сторонней разработки, так и официальные.
  • Вебмастера и администраторы должны работать в безопасном окружении и выполнять правила безопасной работы в интернете (в частности, не сохранять пароли в браузере и FTP-клиенте, защищать рабочее место антивирусом и файрволлом).
  • Перед тем, как устанавливать на веб-сервер какое-либо ПО, очень полезно узнать о его уязвимостях и способах их устранения с помощью The Open Source Vulnerability Database.
* * *
Надеюсь мои читатели смогут избежать подобных проблем. Берегите себя...
И зарабатывайте.
Поучаствуй в опросе заработай деньги, призы, баллы заполнив анкету. Пока только для жителей РФ и в сентябре для городов свыше 500 тысяч человек.
Или зарабтывай на привлечение к опросам людей. Каждая заполненная анкета 1,21 евро тебе на счет. Регистрироваться в партнерки здесь (раздел "Маркетинговые исследования")

3 коммент.:

А у меня вот почту вскрыли на яндексе. Даже блог удалили и вебмани своровали но денег мало было...Как и кто не понятно. Уже запрос сделал в суппор яндексу но походу не найдут. Я знаю на какой емайл перевели деньги но поста так же походу ворованная....

Не целесообразно оставлять вебмани без авторизации с мобилы!

Мне сообщение от хостера пришло - обновите ваш движок иначе могут быть проблемы - старый WP стоит, вот и дергают