На прошлой неделе мы рассмотрели, чем бесплатные CMS отличаются от платных. Бесплатные уступают в плане технической поддержки, лёгкости обновления, бесконфликтности расширений и защиты от хакеров. На этот раз в фокусе внимания окажется аспект информационной безопасности CMS.
Доля заражённых сайтов
У меня был случай, когда разработчики Joomla в связи с массовым набором паролей просто закрыли доступ в админпанель. Причём даже администраторам сайта. Я исполнял его обязанности и не мог зайти на собственный портал, чтобы опубликовать новость. Получить доступ обратно удалось не раньше, чем через неделю, когда информационный повод устарел.
Согласно исследованию сервиса SiteSecure и проекта Ruward, в целом сайты на бесплатных CMS подвергаются заражениями и попадают в черные списки в среднем в четыре раза чаще. Хакеры периодически устраивают массированные атаки, чтобы взломать интернет-ресурсы.
При этом более половины владельцев даже не догадывались о том, что их сайт подвергся заражению.
Дело не в том, что владельцы сайта оказались слишком рассеянными, чтобы обнаружить несанкционированное проникновение. Наиболее распространенные проблемы действительно невозможно диагностировать без специальных средств мониторинга.
Чем это грозит сайту?
- Его могут исключить из поисковой индексации Яндекс и Google.
- Его может заблокировать хостинг-провайдер.
- Его, вероятно, придётся переделывать. Каждый десятый владелец заражённого сайта вынужден поступать именно так.
- Некоторые порталы содержат закрытую информацию (например, финансовую). Ущерб от их взлома может оказаться непредсказуемым.
- Можно понести убытки, несопоставимые с дальнейшей деятельностью. Эта участь постигла 15% компаний.
По данным SecurityLab.ru, за последние 4 года средний ущерб от хакерских атак в расчёте на 1 компанию вырос почти на 80% и составляет более 11,5 млн долларов.
Лишняя работа
Нельзя сказать, что у некоммерческих CMS нет защитных модулей. Они разрабатываются, и их довольно много (у одного WordPress не менее десяти). Другое дело, что их надо сначала найти и собрать в одном месте. Это требует дополнительных усилий и времени.
Иначе обстоит дело у платных CMS. Например, в 1C-Битрикс must-have-программы сразу скомпонованы в одном модуле
- проактивный фильтр (Web Application Firewall);
- инструмент для аудита безопасности PHP-кода;
- веб-антивирус;
- технологию одноразовых паролей (OTP);
- защиту авторизованных сессий;
- контроль активности;
- шифрование канала передачи через SSL;
- журнал вторжений;
- защиту административных разделов по IP;
- стоп-листы;
- контроль целостности скрипта;
- рекомендации по настройке;
- монитор обновлений;
- внешний контроль инфосреды;
- защиту редиректов от фишинга.
Оповещения
Обновления выходят и к платным, и к бесплатным CMS. Разница в том, что разработчики коммерческих CMS напоминают о них своим партнёрам в обязательном порядке. А партнёры в свою очередь оперативно информируют о них владельцев сайтов. В итоге сайт получает оперативный апгрейд.
У некоммерческих CMS нет централизованной структуры, которая могла бы этим заниматься. Как следствие сайты на бесплатных платформах переходят на новую версию далеко не сразу. А необновлённый сайт – удобная мишень для хакеров.
Сертификация
Платные CMS регулярно проходят стороннюю проверку на наличие слабых мест и сертификацию. Например, компания Positive Technologies провела тестирование эффективности новых функций безопасности «1С-Битрикс: Управление сайтом 8». Внешний аудит подтвердил их соответствие международным требованиям Web Application Firewall Evaluation Criteria.
Итого
Некоммерческие CMS напоминают итальянцев: велик градус импровизации. Коммерческие CMS похожи на немцев: да, приходится платить, но надёжность гарантирована. А вы любите надёжные системы?