Займаючись дослідженням найпоширеніших CMS-вразливостей, які дозволяють розміщувати на зламаних сайтах шкідливий код, Яндекс представив рекомендації щодо захисту CMS сайту, які можуть бути дуже корисними у процесі розробки ресурсів та їх просування.
Згідно з дослідженнями аналітиків Яндекса, найбільш уразливими для злому є тиражовані CMS, оскільки її можливі вразливості в одній версії цієї CMS можуть давати можливість зламувати всі CMS цієї версії.
У цьому плані фахівці-розробники представили такі правила, для того, щоб якомога ефективніше убезпечити CMS сайту. Що ж потрібно зробити?
1. Регулярно оновлювати CMS.
2. Приховувати тип та версію встановленої CMS та її плагінів, не вказувати їх у коді сторінки. Крім того, адміністратори сайту повинні стежити і за тим, щоб ресурс був невидимий для спеціальних пошукових запитів-«дорків», які зловмисники використовують для пошуку вразливих CMS.
3. Не використовувати контрафактні версії CMS, оскільки дуже часто у них навмисне знижено рівень безпеки або навіть впроваджено готові backdoor’и (приклад – деякі випуски CMS DLE від M.I.D. з backdoor від Zloy).
4. Перевіряти всі дані, які користувачі вводять на сторінках сайту або безпосередньо передають серверним скриптам за допомогою запитів. Це може вимагати самостійного доопрацювання модулів CMS. Наприклад, таке доопрацювання фільтрації вхідних даних дозволяє знизити вразливість DLE Shop.
5. Сторонні скрипти, модулі та розширення повинні використовуватися як мінімум. Як правило, саме на доповнення припадають всі CMS вразливості.
6. Вебмайстри та адміністратори повинні виконувати правила безпечної роботи в інтернеті (зокрема, не зберігати паролі у браузері та FTP-клієнті, захищати робоче місце антивірусом та фаєрволом).
7. Перед встановленням на веб-сервер будь-якого ПЗ, дуже корисно дізнатися про його уразливості та способи їх усунення за допомогою The Open Source Vulnerability Database.
