По данным аналитиков компании Яндекс имеет место примерно такое распределение (при анализе десяти тысяч крупнейших заражённых сайтов:
CMS |
% от общего числа атак через уязвимости |
DataLife |
50 |
Joomla |
19 |
WordPress |
19 |
1C-Битрикс |
4 |
Vbulletin |
2 |
Остальные |
6 |
Важно отметить, что Joomla и WordPress представляют собой бесплатные CMS с открытым кодом и по этой причине получили наибольшее распространение. Этим же объясняется их уязвимость к атакам – когда исходный код открыт, найти в нём «дыру» гораздо легче, чем в противном случае. Что прекрасно иллюстрирует картина с 1C-Битрикс, которая при высокой популярности у пользователей (больше 27% всех русскоязычных сайтов, по данным экспертов) атакуется напрямую относительно редко). Насчёт первого места – «тёмная история», ибо проблемы с уязвимостями в DataLife известны уже много лет.
В то же время стоит заметить, что уязвимость CMS – только один из возможных путей атаки на сайт. В целом можно выделить несколько основных методов и отследить их частоту (по данным исследований Positive Technologies):
Типы атаки |
% от общего числа атак |
Межсайтовое выполнение сценариев |
31,6 |
Внедрение SQL-кода |
21,6 |
Выход за пределы назначенного каталога |
11,4 |
Подключение локальных файлов |
10 |
Удалённое выполнение кода и команд ОС |
8,3 |
Утечка информации |
3,5 |
Ошибки настройки контроля доступа HTTPS |
3,5 |
Все остальные типы |
10,1 |
Часть этих атак можно реализовать и с использованием уязвимостей в CMS, но кроме этого существуют и другие варианты. Их великое множество – от банального взлома пароля от CMS до тех или иных некорректных действий администратора вроде ошибок при настройке доступа к сайту, слишком простой пароль или халатность в отношении доступа посторонних к его рабочему месту.
Именно поэтому важным моментом является не только и не столько защищённость самой CMS, но и грамотные действия администратора ресурса по защитным мерам. Ниже на примере сайта на 1C-Битрикс приведён необходимый минимум действий, без выполнения которых сайт очень быстро станет частью ботнета или рассадником вирусов:
- Антивирус на локальном ПК администратора. Без надёжного антивирусного комплекса, установленного на ПК, откуда осуществляется доступ к сайту, остальные пункты списка не имеют смысла – слишком много будет простора для вредоносного ПО на таком компьютере. И доступом к сайту дело, очевидно, не ограничится. Причём защищаться необходимо не только от вирусов, но и от любых угроз в целом, для чего оптимально подойдёт продукт компании «Доктор Веб» – Dr.Web Desktop Security Suite.
- Антивирус на ПК, где хостится сайт. Пункт актуален только в том случае, если для размещения ресурса используется один из серверов компании. В противном случае об антивирусной защите должен заботиться ваш хостинг-провайдер.
- Используйте только лицензионную версию 1С-Битрикс и устанавливайте обновления платформы по мере их выхода. Собственно, рекомендация использовать только лицензионные версии касается вообще всего ПО.
- Использовать сложные пароли, которые будут храниться в надежном месте, а также выполнить все необходимые действия для ограничения доступа к сайту. В их числе сокращение числа сотрудников, имеющих доступ к админке, настройка доступа к сайту только с определённых адресов, получение SSL-сертификата и переход на защищённый протокол работы (HTTPS).
- Применять доступные в 1С-Битрикс инструменты для защиты сайтов. Например, наборы типа Безопасность «1С-Битрикс: Управление сайтом» и ему подобные позволяют значительно расширить базовые возможности CMS по противодействию всем типам угроз.
- Подключить сайт к ресурсам вирусного мониторинга, позволяющим проводить постоянный аудит сайта, например, сервису Вирусдай.
Учитывая сказанное, становится понятно, что как и в любой другой ситуации – «спасение утопающих дело рук самих утопающих»: если администратор сайта не будет работать над его безопасностью – ни степень защищённости CMS, ни инструменты хостера уже не будут иметь значения.
Но есть ещё один волнующий многих вопрос – насколько поражение сайта тем или иным способом опасно для его владельца или пользователей. К сожалению, на этот вопрос нет однозначного ответа и всё зависит от категории атаки. К примеру, DDoS доставляет неудобства пользователям и может принести финансовые убытки владельцу ресурса из-за его простоя. Установленный на сайте майнер замедляет работу ПК посетителей заражённого сайта, в то же время компрометируя ресурс, из-за чего он может быть исключён из поисковой выдачи как потенциально опасный. Если жертва стала частью бот-сети по распространению спама – есть тот же риск блокировки в поисковиках. Ну а когда дошло дело до кражи финансовой или иной конфиденциальной информации – тут уже прямые убытки посетителю и, потенциально, множество исков к владельцу ресурса. В любом случае ущерб очевиден, а значит вопроса «защищать или нет» не может возникать в принципе! Работать внимательно, использовать надёжную CMS и эффективный антивирус! И всё будет хорошо.
Читайте похожие статьи:
Вы можете оставить комментарий: