Самые уязвимые CMS с точки зрения Яндекса

уязвимые CMS Добрый день, уважаемые читатели! Яндекс не перестает удивлять. Не прошло еще и недели как было объявлено о начале войны с переоптимизацией страницы и введения новой формулы ранжирования, как в выходные на официальном блоге ребята из команды безопасного поиска затронули тему безопасности сайтов и опубликовали любопытный рейтинг уязвимых cms (Content Management System).

Сегодня в большинстве случаев при создании интернет ресурса мы используем движок. Это удобно, так как без особых знаний можно воплотить все задуманное – от самого сайта до галереи или форума, но как и любое ПО они содержать уязвимые места. Зная о которых хакеру ничего не стоит взломать сайт и разместить вредоносный код, сделать перенаправление читателей на другой ресурс, разместить сомнительный материал или же заражать компьютеры вирусом. От таких действий может пострадать не только репутация ресурса, но и его владельца.

Все наши попытки защитить сайт от взлома порой сводятся к нулю по причине того, что cms в большинстве случаев состоит из отдельных модулей, плагинов, которые не проверяются на безопасность, в отличие от самого движка. При чем хочу заметить, что чем популярнее движок тем больше и чаще будут искать лазейки чтобы его поломать.

Известно, что поисковая машина Яндекса достаточно оперативно находит на ресурсах вредосные скрипты или коды. В этом случае его владелец получает на e-mail предупреждение, а рядом с ссылкой в поисковой выдаче появляется предупреждение, “Сайт заражён вирусом”, в итоге количество читателей заметно сокращается.

Яндекс проанализировал топ-10000 и определил что самым популярным движком является wordpress, далее следует joomla. Более наглядную картину можно увидеть на диаграмме

самые популярные движки

Благодаря исследования команды безопасного поиска выяснилось, что самая уязвимая cms — DLE, которая не так популярна. Далее следует по уязвимости Joomla 1.5 и Wordpess.

самая уязвимая cms

При чем особую уязвимость у wordpress представляют версии 3.2.1, 3.1.3 и 2.9.2, которые имеют широкое распространение и не на зараженных сайтах. Яндекс просто рекомендует тщательнее соблюдать правила безопасности вебмастерам, работающим на этих версиях, так только за полтора месяца было обнаружено 57 новых уязвимостей у wordpress, которые в основном находятся в дополнительных модулях. Опасность истекает из компонентов “wp-forum” , “wp-slimstat”, “wordpress automatic upgrade” и несколько других. Более полный обзор уязвимостей wordpress можно найти здесь.

Если Вы работаете на Joomla 1.5 постарайтесь внимательно отнестись к вопросам безопасности, особое внимание стоит уделить модулям, которые используются для форума. Только с начала года было обнаружено 38 новых лазеек для взломов.Более полный обзор уязвимостей joomla можно найти на этой странице.

Обезопасить сайт от взлома и не санкционированного проникновения можно соблюдая простые рекомендации от службы безопасности Яндекс:

1.Следить за появлением обновлений движка.

2. Скрывать информацию о версии используемого движка и ее расширений. Это усложнит поиск “дыр” хакерам.

3. Использовать только движки с официальных сайтов разработчиков.

4. Проверяйте все что пользователи отправляют со страниц ресурса на сервер.

5. Использовать минимум дополнений.

6. Установить на компьютер антивирусные программы, не хранить пароли от ftp в программах, как можно чаще менять пароли к серверу и к админке ресурса.

7. Прежде чем на сервер устанавливать ПО рекомендуется узнать о его уязвимости и и о том как их можно устранять с помощью The Open Source Vulnerability Database.

Думаю стоит взять на вооружение исследование службы безопасности, ведь как говорится: “Предупрежден – значит вооружен”

Вам понравилась статья? Расскажите о ней друзьям!