Какво става, ако приставки за сигурност CMS не предпазват вашия сайт от хакери списание CMS

Какво става, ако приставки за сигурност CMS не предпазват вашия сайт от хакери списание CMS

Какво става, ако приставки за сигурност CMS не предпазват вашия сайт от хакери списание CMS

Какво става, ако системата за управление на съдържанието не включва необходимите компоненти за сигурност? Техният недостатък е лесно компенсирано приставки, една от които - високо специализирани разширения, например, изпълнява само процеса на архивиране и сайт възстановяване и други (WordpressDBBackup, AkeebaBackup и др.) - многофункционални добавките, които следят активност, блокиране, филтриране и възстановяване на данни (SucuriSecurity, RSFirewall и др.)

Истината на живота е, че няма разширение на ССФ, или антивирусни услуги не може да гарантира безопасността и защитата на сайта.

Алберт Айнщайн е казал: "Вие не може да реши проблема на същото ниво, на което е било изпратено. Ние трябва да се издигнем над този проблем, нараства до следващото ниво ... ". Това твърдение не може да бъде по-добре описва проблема охрана на обекта. Единствената разлика е, че концепцията за "до следващото ниво" всъщност означава да отиде на нивото на системата, която контролира скриптове на сайта и прилагане протокол HTTP / FTP-високо ниво, т.е. на нивото на операционната система и сървър. Защото плъгини са част от системата за управление на съдържанието, както и антивирусни услуги, които работят на едно и също ниво, скриптове и HTTP протокол, използвайки ги като е невъзможно да се организира защитата на сайта. Тя може да бъде само да се следи и уведомява собственика на сайта за проблема. И дори тогава не винаги.

За да се подсигурите сайта си, и гарантирано да го предпазите от счупване, е необходимо да се знае как нападателят проникнала в сайта, как да получите достъп ресурси и се закрепва в системата. Невежеството на тези техники води до неправилна политика за сигурност и, като следствие, в разчупването на сайта. Това е, за да зададете е необходимо за ефективната защита на сайта по някакъв начин да се мисли и действа като хакер.

Помислете за най частни вектори на атаки срещу сайта, които се използват от хакери.

1 Използване на приставката уязвимости скриптове и CMS

2 атака на администраторския панел (Bruteforce или кражба парола)

3 пробие FTP (Bruteforce парола, парола прихващане, кражба на ключове, MITM атака)

4 пробие SSH (Bruteforce парола, парола прихващане, кражба на ключове, MITM атака)

5 след пробив през "съседите" хостинг

6 атака срещу хостинг администраторския панел (парола Bruteforce, експлоатация на уязвимостите)

Софтуер, който е домакин на контролния панел може да съдържа уязвимости. Хакерът може да се използва базата данни на известни уязвимости или да се опита да отгатне паролата, което води до увеличаване на пълен контрол над хостинга.

7 експлоатация на уязвимостите на операционната система и услуги, хостинг

Както можем да видим, хакерът има много възможности да атакуват сайта. Нека се опитаме да се направи оценка на ефективността на приставки и външни услуги антивирусни за защита срещу тези атаки.

Затварянето на "дупки" на сайта (за спиране на експлоатацията на уязвими места)

Работата на външни антивирусни услуги също значително спестява, тъй като в повечето случаи те извършват функцията за наблюдение, а не защита. Ефективни тези услуги, които работят като уеб Firewall кандидатстване, филтриране HTTPzaprosy от клиенти, преди да дадете скриптове за управление на CMS. Ако услугата или скрипт извършва редовни проверки на файлове (обикновено резервни копия) или промени към хоста, тя не защитава сайта от хакване, а просто да информира, а понякога неправилно или късно. По този начин, на уязвимостта на сайта не може да бъде близо до 100% приставки и външни услуги.

Admin защита панел от неоторизиран достъп

Защита срещу хакери и други опции

Както можете да предположите, от хакерски сайт чрез FTP, SSH или уеб хостинг плъгини контролния панел на сайта и антивирусните услуги не може да осигурява физическа защита, тъй като те работят на съвсем различно ниво, и като цяло не е свързано със сайта.

Това става очевидно: securityplaginy не са панацея срещу хакерски атаки и не могат да се защитят вашия сайт от хакери, каквито функции за мониторинг и защита в тях могат да бъдат приложени.

Възниква въпросът дали има и други възможности за подобряване на контрола на сигурността на сайта в рамките на CMS? За това ние използваме съвет на Айнщайн и се търси решение за защита на по-високо ниво на обекта (препратка към сървърната архитектура - напротив, по-ниско).

Защита срещу атаки на HTTP (Web)

Ако използваме инструментите на ниво файлова система, уеб сървър и PHP интерпретатора, ние можем да се затвори възможността за използване на уязвимост чрез Интернет. За да направите това, има процедура "CMSHardening" (така наречената "циментиране на сайта"), който се състои от следните елементи:

Промяна на правата на файлове и папки

Забрана неоторизирано изпълнение на скриптове

Администратор удостоверяване на уеб сървъра посредством

Деактивирането на определени системни функции на PHP

Първо, помислете за идеален. Ако все пак всички файлове и уеб сайта "само за четене" папки, забраните функцията система и коригират, затворете удостоверяване на сървъра администраторския панел на и достъпа до средствата (например, PhpMyAdmin) и конфигуриране на WAF или хакери, без ботове няма да остане нещо физически способности товара или да направите промени в сайта през PHPskripty и провеждане на успешна атака на базата данни. Ето защо:

Вие не можете да изтеглите уеб Shell / задни врати и други скриптове на сайта, тъй като всички директории са настроени "само за четене"

Да ги направи достъпни за записване на хакер не може, тъй като всички функции са деактивирани и коригират

Ако сайтът ви е уеб черупка е бил изтеглен, стартирайте ги всякакви промени в файлове и директории не работи, защото PHP функция, която може да се направи - инвалиди в php.ini

Изглежда, че е възможно да се направят промени в базата данни чрез SQL инжекция, но WebApplicationFirewall блокове като HTTPzaprosy

Направете промени в сайта чрез администраторския панел или инструменти за работа с базата данни не работи, тъй като предотвратява удостоверяване уеб ресурси на сървъра (например достъп само до определен ПР, регистрирана в .htaccess файла).

Теорията звучи страхотно, на практика, някои CMS с такава "затягане на винта" престанат да функционират нормално. Ето защо, защита изисква малко се отпусна. Част директории трябва да останат достъпни за писане (по-специално цялата кеш / качване / TMP / бекъп), но достъпът до тях чрез HTTP трябва да бъде или затворена (DenyfromAll във файла .htaccess) или се допускат само да качите някои файлови формати (php_flag двигател 0 и само позволяваме качването на снимки / медии / документи с .js .css). Някои плъгини изискват сваляне на данни от външни сървъри, така че трябва да се даде възможност allow_url_fopen = 1 и fsockopen функция в php.ini.

Що се отнася до WAF, задайте идеалното филтриране на заявки HTTP - един не процес за един ден. Най-вероятно добавка правило firewallpridetsya или правилно, а дори и за известно време своя "влак" на легитимните искания, които е научил да ги разграничава от хакери.

Трябва също да се отбележи, че нападението може да се извършва не само за достъп до информацията или да извършва нерегламентирани действия на сайта, но и за изхода на сървъра недостатъчност или операционна система от изчерпване на ресурсите (т.нар DOS). Срещу DOS атаки (да не се бърка с външния DDoS) приставки и услуги също не са защитени като отказ на услуга може да бъде в резултат на правни достъпи на сайта.

Недостатъкът

Ако са направени шаблони постоянни корекции ще трябва да ги направим достъпни за записване, а след това "само за четене". За да актуализирате CMS и плъгини също са длъжни да "отстраняване" на такава защита. Тази процедура изглежда особено трудно за неопитни уебмастъри и те са, от време на време, за сметка на сигурността, да реши да вземе някаква защита, като позволява достъп до всички файлове и директории.

Следователно, въпросът за защитата на CMS трябва да се намери баланс между удобство на обслужване сайт и нивото на сигурност, които биха задоволили и неговия собственик.

Кражба чрез взлом защита от хостинг

Преди това, ние имаме предвид само защита срещу уеб-базирани атаки, но има много начини да проникна в сайта чрез FTP, SSH, уеб хостинг контролен панел, и със съседните обекти. Подобряване на сигурността на тези услуги и компоненти, както е възможно.

За да зададете сложни пароли за FTP и SSH. Да не се съхранява в клиента и се променя често.

Използвайте нестандартни портове за свързване на FTP / SSH.

Редовно актуализиране на уеб хостинг контролния панел.

Инсталирайте кръпки за сигурност на ядрото на сървъра и предлаганите от него услуги.

(Последните две точки от споделен хостинг - е да се грижи за системни администратори).

Колкото повече от по-горе продукти ще бъде в състояние да доведе до живот, за по-голяма сигурност ще бъде на сайта.

Възниква въпросът - какво да правим с плъгини за сигурност за CMS. Дали да не ги използват?

Фирма: AGIMA
Длъжност: ръководител на отдел за развитие

За AGIMA, за компания, която се грижи за своите клиенти, от съществено значение е да предоставим на нашите клиенти с качество на обслужване, и ние поставяме това понятие също интегрирана уеб сайт сигурност и уеб сървър. Ето защо ние внимателно при избора на инструменти, които ще бъдат използвани в състава.

Например, ние често не се задължават да използват по-голямата част от печалбата на ССФ, подход към сигурността оставя много да се желае: ако проект с отворен код, го напиша някой може, и това лице може да липсва време или желание да разследва отделно своето звено за сигурност. В допълнение, развитието на този проект с отворен код е отговорен за сигурността и целостта на цялата система не може да бъде най-малко.

Опитваме се да използваме CMS, който непрекъснато се тества за уязвимости, и в който защитната стена за уеб приложения - това не е само празна фраза, но реален работен инструмент. Такова CMS, например, е Bitriks-1С. Въпреки това, както правилно е отбелязано от Грегъри в статията си, без модул няма да ви предпази от всички възможни заплахи. По всяко време, тя е основна заплаха за човешкия мозък, а не точни алгоритми - е още веднъж доказа, Кевин Митник.

Всичко това дело на човешки ръце, може да се анализира и хакнат от човека. Ето защо през последните години видяхме голяма динамика на растежа заявления за компетентност безопасност: мисля, че на клиентите да разберат, че рискът за репутацията им е много по-скъпа инвестиция, изразходвани за сигурността на сайта. За нашите клиенти, ние сме разработили списък от услуги, за да се осигури непрекъснатост и сигурността на сайта: той е боядисан в предстоящата година технологичната прозореца, през който ние инсталирате актуализация на софтуер, извършване на работата за справяне с установените уязвимости, той също така открива неупълномощени промени на кода на сайта си, той и планираната промяна на пароли и много други подобни процедури.

Сигурност - това е много важна част от функционирането на вашия сайт. По някаква причина, решихме да се мисли за сигурност, например, в апартамента му (да купуват по-солидна врата, поставени нови брави, сложи системи за сигурност), но не са направени да се мисли за сигурността на бизнеса си в интернет - макар че щетите могат да бъдат доста сходни.

Фирма: ITECH.group
Позиция: Директор на отдел развитие

Всеки повторен инструмент винаги ще бъдат атакувани. Това се отнася не само за плъгини за уеб, и за целия клас на системи за защита. Нещо повече, по-често е лекарството, толкова по-вероятно, че тя ще бъде променен. Обяснението за това е съвсем проста: нападателя никога няма да харчат своите сили, за да се "вдигне отворени", което на системата за защита, тъй като ползите от скъсването й няма да се покриват разходи тази скъсване.

Когато решение се превръща в популярен, той незабавно се нападнат, той привлича вниманието на хакери. След разбиране как работи системата веднъж, и е установено, уязвимостта му, достъпът на нападателя печалби за всички уеб-сайтове, които използват тази система са защитени и да станат известни и известен в кръговете си. Оказва се, че понякога системата защитена от "занаятчийско" начин, са по-устойчиви на атаки от една система, защитен от различни търговски решения. Това не означава, че от пакетираните решения трябва да се изхвърли веднъж завинаги - просто трябва да се умело и съзнателно подход към използването им, в съответствие с принципите на разумната достатъчност. И също така имайте предвид, че надеждността на защитата на всяка информация, ресурси не винаги зависи от една система, но на набор от мерки, които да бъдат предприети, за да го защити. Този комплекс включва не само чисто технологични средства, но също и на организацията: обучение, ограничаване на физическия достъп на неоторизирани лица, разпоредби за създаване и администриране на уеб-сайтове, в това число и хостинг.