Яндекс опубликовал данные о CMS в Рунете

Не существует абсолютно защищённого программного обеспечения. Системы управления содержимым (Content Managemennt System - CMS) не являются исключением. Несмотря на длительность тестирования, использования и усовершенствования популярных версий этих систем множеством пользователей и разработчиков, со временем в них обнаруживаются новые уязвимости, которыми могут воспользоваться злоумышленники.

Чем более популярным является продукт, тем более вероятно то, что на него обратят внимания хакеры. Взломать систему, которой пользуется 100 человек, можно, но это разумно делать лишь в исключительном случае, когда идёт охота за данными исключительной важности, либо по конкретному заказу третьих лиц. Если же речь идёт о сверхпопулярной системе управления содержимым, то, найдя в ней уязвимость, злоумышленники могут атаковать десятки и сотни тысяч различных ресурсов, работающих на этой системе. Помимо самой системы, существуют тысячи дополнений и расширений к популярным CMS, которые тоже не лишены недоработок. Взломав ваш ресурс, злоумышленник может использовать различные приёмы для выполнения собственных целей. Размещение на сайте вредоносного ПО, перенаправление пользователей на сторонние ресурсы, публикация собственного контента неприемлемого содержания - это лишь малая часть действий, которые могут быть совершены в отношении взломанного сайта, и все они приведут к падению репутации ресурса, а значит и падению его популярности и посещаемости.

Недавно Яндекс опубликовал статистику по распределению различных CMS в качестве платформ для ресурсов, указав при этом данные по заражённым различным вредоносным ПО сайтам и использующихся на них системах управления содержимым. Так выглядит распределение долей CMS в качестве платформы на 10000 популярнейших ресурсах Рунета:

А вот так выглядит распределение CMS как платформ среди 10000 наиболее популярных сайтов, которые инфицированы каким-либо вредоносным ПО:

Как видно из диаграммы, половина всех популярных инфицированных сайтов используют в качестве платформы DLE, в то время как другие популярные сайты либо скрывают свою CMS для избежания атак, либо используют другие системы управления содержимым. Большие доли CMS WordPress и Joomla среди инфицированных ресурсов указывают на наличие уязвимостей и в этих системах.

Теперь посмотрим на распределение версий WordPress среди популярных сайтов и популярных инфицированных ресурсов:

Как мы видим, распределение версий среди корректно работающих и инфицированных сайтов примерно одинаково, что говорит о необходимости для администраторов обращать особое внимание на защиту своих ресурсов. Как и стоило ожидать, наибольшему количеству атак, а следовательно и успешным атакам подверглись сайты, использующие самые распространённые версии WordPress. За последние 2 месяца в этой CMS было обнаружено 57 новых уязвимостей, причём все они находятся не в самой системе, а в различных её дополнениях и компонентах.

Так выглядит статистика для сайтов, использующих Joomla в качестве системы управления содержимым:

Ситуация очень похожа на ту, которая наблюдается среди сайтов, использующих WordPress. Наиболее часто жертвами становятся ресурсы, использующие популярные версии. С начала года было обнаружено 38 новых уязвимостей, которые находятся в различных компонентах этой системы.

В конце хотелось бы поделиться теми советами, которые дают специалисты Яндекс для обеспечения более качественной и эффективной защиты ресурсов от различных атак:

1. Регулярно обновляйте CMS.
2. Скрывайте тип и версию установленной CMS и её плагинов, не указывайте их в коде страницы. Кроме того, нужно следить за тем, чтобы сайт нельзя было обнаружить с помощью специальных поисковых запросов-«дорков», которые злоумышленники используют для поиска уязвимых CMS.
3. Не используйте контрафактные версии CMS – в некоторых случаях в них умышленно снижена степень безопасности или даже внедрены готовые backdoor’ы (пример – некоторые выпуски CMS DLE от M.I.D. с backdoor от Zloy).
4. Проверяйте все без исключения данные, которые пользователь может ввести на страницах сайта или напрямую передать серверным скриптам при помощи запросов. Это может потребовать самостоятельной доработки модулей CMS. Например, такая доработка фильтрации входных данных позволяет снизить уязвимость DLE Shop. Для тестирования этих проверок рекомендуем привлечь специалистов по тестированию на проникновение.
5. Использовать минимум сторонних скриптов, модулей, расширений. В самих пакетах CMS уязвимостей обычно немного, в основном они приходятся на дополнения, причём как сторонней разработки, так и официальные.
6. Вебмастера и администраторы должны работать в безопасном окружении и выполнять правила безопасной работы в интернете (в частности, не сохранять пароли в браузере и FTP-клиенте, защищать рабочее место антивирусом и файрволлом).
7. Перед тем, как устанавливать на веб-сервер какое-либо ПО, очень полезно узнать о его уязвимостях и способах их устранения с помощью The Open Source Vulnerability Database.