Безопасность CMS: щит и… сито

На прошлой неделе мы рассмотрели, чем бесплатные CMS отличаются от платных. Бесплатные уступают в плане технической поддержки, лёгкости обновления, бесконфликтности расширений и защиты от хакеров. На этот раз в фокусе внимания окажется аспект информационной безопасности CMS.

Доля заражённых сайтов

У меня был случай, когда разработчики Joomla в связи с массовым набором паролей просто закрыли доступ в админпанель. Причём даже администраторам сайта. Я исполнял его обязанности и не мог зайти на собственный портал, чтобы опубликовать новость. Получить доступ обратно удалось не раньше, чем через неделю, когда информационный повод устарел.

Согласно исследованию сервиса SiteSecure и проекта Ruward, в целом сайты на бесплатных CMS подвергаются заражениями и попадают в черные списки в среднем в четыре раза чаще. Хакеры периодически устраивают массированные атаки, чтобы взломать интернет-ресурсы.

При этом более половины владельцев даже не догадывались о том, что их сайт подвергся заражению.

Дело не в том, что владельцы сайта оказались слишком рассеянными, чтобы обнаружить несанкционированное проникновение. Наиболее распространенные проблемы действительно невозможно диагностировать без специальных средств мониторинга.

Чем это грозит сайту?

• Его могут исключить из поисковой индексации Яндекс и Google.
• Его может заблокировать хостинг-провайдер.
• Его, вероятно, придётся переделывать. Каждый десятый владелец заражённого сайта вынужден поступать именно так.
• Некоторые порталы содержат закрытую информацию (например, финансовую). Ущерб от их взлома может оказаться непредсказуемым.
• Можно понести убытки, несопоставимые с дальнейшей деятельностью. Эта участь постигла 15% компаний.

По данным SecurityLab.ru, за последние 4 года средний ущерб от хакерских атак в расчёте на 1 компанию вырос почти на 80% и составляет более 11,5 млн долларов.

Лишняя работа

Нельзя сказать, что у некоммерческих CMS нет защитных модулей. Они разрабатываются, и их довольно много (у одного WordPress не менее десяти). Другое дело, что их надо сначала найти и собрать в одном месте.  Это требует дополнительных усилий и времени.

Иначе обстоит дело у платных CMS. Например, в 1C-Битрикс must-have-программы сразу скомпонованы в одном модуле «Проактивная защита». Она включает в себя:

• проактивный фильтр (Web Application Firewall);
• инструмент для аудита безопасности PHP-кода;
• веб-антивирус;
• технологию одноразовых паролей (OTP);
• защиту авторизованных сессий;
• контроль активности;
• шифрование канала передачи через SSL;
• журнал вторжений;
• защиту административных разделов по IP;
• стоп-листы;
• контроль целостности скрипта;
• рекомендации по настройке;
• монитор обновлений;
• внешний контроль инфосреды;
• защиту редиректов от фишинга.

Оповещения

Обновления выходят и к платным, и к бесплатным CMS. Разница в том, что разработчики коммерческих CMS напоминают о них своим партнёрам в обязательном порядке. А партнёры в свою очередь оперативно информируют о них владельцев сайтов.  В итоге сайт получает оперативный апгрейд. 

У некоммерческих CMS нет централизованной структуры, которая могла бы этим заниматься. Как следствие сайты на бесплатных платформах переходят на новую версию далеко не сразу. А необновлённый сайт – удобная мишень для хакеров.

Сертификация

Платные CMS регулярно проходят стороннюю проверку на наличие слабых мест и сертификацию. Например, компания Positive Technologies провела тестирование эффективности новых функций безопасности «1С-Битрикс: Управление сайтом 8». Внешний аудит подтвердил их соответствие международным требованиям Web Application Firewall Evaluation Criteria.

Итого

Некоммерческие CMS напоминают итальянцев: велик градус импровизации. Коммерческие CMS похожи на немцев: да, приходится платить, но надёжность гарантирована. А вы любите надёжные системы?