Занимаясь исследованием наиболее распространенных CMS-уязвимостей, которые позволяют размещать на взломанных сайтах вредоносный код, Яндекс представил рекомендации по защите CMS сайта, которые могут быть очень полезными в процессе разработки ресурсов и их продвижения.
Согласно исследованиям аналитиков Яндекса, наиболее уязвимыми для взлома являются тиражируемые CMS, поскольку ее возможные уязвимости в одной версии этой CMS могут давать возможность взламывать все CMS этой версии.
В этом плане специалисты-разработчики представили следующие правила, для того, чтобы как можно эффективнее обезопасить CMS сайта. Что же нужно сделать?
1. Регулярно обновлять CMS.
2. Скрывать тип и версию установленной CMS и ее плагинов, не указывать их в коде страницы. Кроме того, администраторы сайта должны следить и за тем, чтобы ресурс был невидим для специальных поисковых запросов-«дорков», которые злоумышленники используют для поиска уязвимых CMS.
3. Не использовать контрафактные версии CMS, поскольку очень часто в них умышленно снижена степень безопасности или даже внедрены готовые backdoor’ы (пример – некоторые выпуски CMS DLE от M.I.D. с backdoor от Zloy).
4. Проверять абсолютно все данные, которые пользователи вводят на страницах сайта или напрямую передают серверным скриптам при помощи запросов. Это может потребовать самостоятельной доработки модулей CMS. Например, такая доработка фильтрации входных данных позволяет снизить уязвимость DLE Shop.
5. Сторонние скрипты, модули и расширения должны использоваться по-минимуму. Как правило, именно на дополнения приходятся все CMS уязвимости.
6. Вебмастера и администраторы должны выполнять правила безопасной работы в интернете (в частности, не сохранять пароли в браузере и FTP-клиенте, защищать рабочее место антивирусом и файерволлом).
7. Перед установкой на веб-сервер любого ПО, очень полезно узнать о его уязвимостях и способах их устранения с помощью The Open Source Vulnerability Database.