Безопасность CMS: щит и… сито

Безопасность CMS: щит и… сито

На прошлой неделе мы рассмотрели, чем бесплатные CMS отличаются от платных. Бесплатные уступают в плане технической поддержки, лёгкости обновления, бесконфликтности расширений и защиты от хакеров. На этот раз в фокусе внимания окажется аспект информационной безопасности CMS.

Доля заражённых сайтов

У меня был случай, когда разработчики Joomla в связи с массовым набором паролей просто закрыли доступ в админпанель. Причём даже администраторам сайта. Я исполнял его обязанности и не мог зайти на собственный портал, чтобы опубликовать новость. Получить доступ обратно удалось не раньше, чем через неделю, когда информационный повод устарел.

Согласно исследованию сервиса SiteSecure и проекта Ruward, в целом сайты на бесплатных CMS подвергаются заражениями и попадают в черные списки в среднем в четыре раза чаще. Хакеры периодически устраивают массированные атаки, чтобы взломать интернет-ресурсы.

Доля заражённых сайтов на популярных CMS

При этом более половины владельцев даже не догадывались о том, что их сайт подвергся заражению.

Дело не в том, что владельцы сайта оказались слишком рассеянными, чтобы обнаружить несанкционированное проникновение. Наиболее распространенные проблемы действительно невозможно диагностировать без специальных средств мониторинга.

Чем это грозит сайту?

  • Его могут исключить из поисковой индексации Яндекс и Google.
  • Его может заблокировать хостинг-провайдер.
  • Его, вероятно, придётся переделывать. Каждый десятый владелец заражённого сайта вынужден поступать именно так.
  • Некоторые порталы содержат закрытую информацию (например, финансовую). Ущерб от их взлома может оказаться непредсказуемым.
  • Можно понести убытки, несопоставимые с дальнейшей деятельностью. Эта участь постигла 15% компаний.

По данным SecurityLab.ru, за последние 4 года средний ущерб от хакерских атак в расчёте на 1 компанию вырос почти на 80% и составляет более 11,5 млн долларов.

Лишняя работа

Нельзя сказать, что у некоммерческих CMS нет защитных модулей. Они разрабатываются, и их довольно много (у одного WordPress не менее десяти). Другое дело, что их надо сначала найти и собрать в одном месте.  Это требует дополнительных усилий и времени.

Иначе обстоит дело у платных CMS. Например, в 1C-Битрикс must-have-программы сразу скомпонованы в одном модуле «Проактивная защита». Она включает в себя:

  • проактивный фильтр (Web Application Firewall);
  • инструмент для аудита безопасности PHP-кода;
  • веб-антивирус;
  • технологию одноразовых паролей (OTP);
  • защиту авторизованных сессий;
  • контроль активности;
  • шифрование канала передачи через SSL;
  • журнал вторжений;
  • защиту административных разделов по IP;
  • стоп-листы;
  • контроль целостности скрипта;
  • рекомендации по настройке;
  • монитор обновлений;
  • внешний контроль инфосреды;
  • защиту редиректов от фишинга.

Оповещения

Обновления выходят и к платным, и к бесплатным CMS. Разница в том, что разработчики коммерческих CMS напоминают о них своим партнёрам в обязательном порядке. А партнёры в свою очередь оперативно информируют о них владельцев сайтов.  В итоге сайт получает оперативный апгрейд. 

У некоммерческих CMS нет централизованной структуры, которая могла бы этим заниматься. Как следствие сайты на бесплатных платформах переходят на новую версию далеко не сразу. А необновлённый сайт – удобная мишень для хакеров.

Сертификация

Платные CMS регулярно проходят стороннюю проверку на наличие слабых мест и сертификацию. Например, компания Positive Technologies провела тестирование эффективности новых функций безопасности «1С-Битрикс: Управление сайтом 8». Внешний аудит подтвердил их соответствие международным требованиям Web Application Firewall Evaluation Criteria.

Итого

Некоммерческие CMS напоминают итальянцев: велик градус импровизации. Коммерческие CMS похожи на немцев: да, приходится платить, но надёжность гарантирована. А вы любите надёжные системы?