Ce se întâmplă dacă plugin-uri de securitate CMS nu protejează site-ul de hacking CMS revista

Ce se întâmplă dacă plugin-uri de securitate CMS nu protejează site-ul de hacking CMS revista

Ce se întâmplă dacă plugin-uri de securitate CMS nu protejează site-ul de hacking CMS revista

Ce se întâmplă dacă sistemul de management al conținutului nu include componentele de securitate necesare? Dezavantajul lor este ușor de compensat plug-in-uri, dintre care unul - un extensii extrem de specializate, de exemplu, efectua doar procesul de backup si site-ul de recuperare, iar celelalte (WordpressDBBackup, AkeebaBackup și colab.) - multi-funcțional de plug-in-uri care monitorizeaza activitatea, blocarea, filtrarea și recuperare de date (SucuriSecurity, RSFirewall și colab.)

Adevărul vieții este că nici o extensie CMS, sau serviciile anti-virus nu poate garanta siguranța și protecția site-ului.

Albert Einstein a spus: „Nu poți rezolva o problemă la același nivel la care provine. Trebuie să se ridice deasupra acestei probleme, ridicându-se la nivelul următor ...“. Această afirmație nu ar putea fi mai bine descrie problema de protecție a site-ului. Singura diferență este că noțiunea de „până la nivelul următor“ înseamnă de fapt, pentru a merge la nivelul sistemului care controlează script-urile și site-ul de aplicare protocolul HTTP / FTP-nivel, adică nivelul sistemului de operare și server. Deoarece plug-in-uri fac parte dintr-un sistem de management al conținutului, și servicii antivirus care rulează pe același nivel de scripting și protocolul HTTP, folosindu-le este imposibil să se organizeze protecția site-ului. Acesta poate fi doar pentru a monitoriza și notifica proprietarul site-ului cu privire la problema. Și chiar și atunci nu întotdeauna.

Pentru a asigura site-ul dvs., și garantat să-l protejeze de rupere, este necesar să se cunoască modul în care un atacator penetrat la site-ul, modul de accesare a resurselor și este asigurată în sistem. Ignorarea acestor tehnici conduce la politica de securitate incorectă și, în consecință, spargerea site-ului. Aceasta este, de a stabili este necesară protejarea eficientă a site-ului într-un anumit mod de a gândi și a acționa ca un hacker.

Luați în considerare vectorii cele mai privați de atacuri asupra site-ului, care sunt utilizate de către hackeri.

1 Utilizarea plug-in vulnerabilități script-uri și CMS

2 atac de pe panoul de administrare (Bruteforce sau furtul de parole)

3 Breaking prin FTP (parola Bruteforce, parola de interceptare, furtul cheilor, MITM atac)

4 Breaking prin SSH (parola Bruteforce, parola de interceptare, furtul cheilor, MITM atac)

5 Ruperea prin „vecini“ Hosting

6 atac de pe panoul de administrare hosting (parola Bruteforce, exploatarea vulnerabilităților)

Software-ul, care este un panou de control de găzduire poate conține de asemenea vulnerabilități. Un hacker poate utiliza baza de date de vulnerabilități cunoscute sau pentru a încerca să ghicească parola, rezultând într-un control complet asupra câștig de hosting.

7 Exploatarea vulnerabilităților sistemului de operare și a serviciilor, găzduire

După cum putem vedea, hacker-ul are multe oportunități de a ataca site-ul. Să încercăm să evalueze eficiența de plug-in-uri și servicii externe anti-virus pentru a proteja împotriva acestor atacuri.

Închiderea „găuri“ de pe site-ul (pentru a opri exploatarea vulnerabilităților)

Activitatea de servicii antivirus externe, de asemenea, economisește foarte mult, la fel ca în majoritatea cazurilor, acestea efectuează funcția de monitorizare, mai degrabă decât de protecție. Eficiente acele servicii care funcționează ca Web Application Firewall, filtrare HTTPzaprosy de la clienții înainte de a înmâna script-uri de management al CMS. În cazul în care serviciul sau script-ul efectuează controale regulate ale fișierelor (de obicei, backup-uri) sau modificări la gazdă, aceasta nu protejează site-ul de hacking, ci pur și simplu informează, și, uneori, în mod incorect sau cu întârziere. Astfel, vulnerabilitatea site-ului nu poate fi aproape de 100% plug-in-uri și servicii externe.

Panoul de administrare de protecție împotriva accesului neautorizat

Protecția împotriva hacking alte opțiuni

După cum s-ar putea ghici, de la hacking site-ul prin FTP, SSH sau Web Hosting pluginuri Panoul de control site-uri și servicii anti-virus nu poate proteja fizic, pe măsură ce lucrează la un nivel complet diferit, și este, în general nu sunt asociate cu site-ul.

Devine evident: securityplaginy nu sunt un panaceu împotriva atacurilor hackerilor și nu poate proteja site-ul dvs. de hacking, indiferent de funcțiile de monitorizare și protecție în ele pot fi puse în aplicare.

Se pune întrebarea dacă există alte opțiuni pentru a îmbunătăți controlul de securitate site-ul sub CMS? Pentru aceasta folosim sfatul lui Einstein și să caute o soluție pentru protejarea unui nivel mai ridicat al site-ului (o referire la arhitectura server - dimpotrivă, pe partea inferioara).

Protecție împotriva atacurilor asupra HTTP (Web)

Dacă vom folosi instrumentele de nivelul sistemului de fișiere, un server web și interpret PHP, putem închide posibilitatea de exploatare a vulnerabilității prin intermediul Web-ului. Pentru a face acest lucru, există o procedură de „CMSHardening“ (așa-numitele „cimentare Site-ul“), care constă din următoarele elemente:

Modificarea drepturilor la fișiere și foldere

Ban executare neautorizată a script-uri

Administrator mijloc de autentificare server de web

Dezactivarea anumitor funcții ale sistemului de PHP

În primul rând, ia în considerare ideală. Dacă faci toate fișierele și site-ul foldere, funcția sistemului de dezactivare și chmod „read-only“, închideți panoul de autentificare server de admin și accesul la instrumentele (de exemplu, phpMyAdmin) și să configurați WAF sau hackeri, nici un bot nu va rămâne ceva capacitatea fizică sarcina sau de a face modificări la site prin intermediul PHPskripty și să efectueze un atac de succes asupra bazei de date. Iată de ce:

Nu puteți descărca Web Shell / backdoors și alte script-uri pe site-ul, deoarece toate directoarele sunt setate „read-only“

Le face disponibile pentru a înregistra un hacker nu poate, deoarece toate funcțiile sunt dezactivate și chmod

Dacă site-ul dvs. are un shell-ul a fost descărcat, executați-le orice modificări în fișiere și directoare nu funcționează, deoarece funcția PHP care se poate face - dezactivat în php.ini

Se pare a fi posibil să se facă modificări în baza de date prin injectare SQL, dar blocuri WebApplicationFirewall cum ar fi HTTPzaprosy

Faceți modificări la site prin intermediul panoului de administrare sau de instrumentele necesare pentru a lucra cu baza de date nu funcționează, deoarece resursele server de autentificare împiedică web (de exemplu, accesul numai la anumite PA, înregistrată în fișierul .htaccess).

Teoria suna foarte bine, în practică, unele CMS cu o astfel de „strângerea șuruburilor“ încetează să funcționeze normal. Prin urmare, protecția necesită un pic relaxat. directoare Partea trebuie să rămână accesibile pentru scris (în special, toate cache / upload / tmp / de rezervă), dar accesul la ele prin HTTP trebuie să fie închise (DenyfromAll în fișierul .htaccess) sau este permisă numai pentru a încărca anumite formate de fișiere (motor 0 php_flag și permiteți numai încărcarea imaginilor / media / documente cu .js .css). Unele plugin-uri necesită descărcarea datelor de la serverele externe, astfel încât trebuie să permită allow_url_fopen = 1 și fsockopen funcția în php.ini.

În ceea ce privește waf, acesta este setat la filtrarea ideală de cereri HTTP - un proces care nu o singură zi. Cel mai probabil supliment de regula firewallpridetsya sau corecte, și chiar și pentru ceva timp sa „tren“ cererile legitime pe care le-a învățat să le distinge de hackeri.

De asemenea, trebuie remarcat faptul că atacul poate fi efectuată nu numai pentru a accesa informațiile sau a efectua acțiuni neautorizate pe site-ul, dar, de asemenea, pentru producția unei erori de server sau sistem de operare prin epuizarea resurselor (așa-numita DOS). Împotriva atacurilor DOS (a nu se confunda cu DDoS extern) plug-in-uri și servicii care nu sunt, de asemenea, protejate ca o negare a serviciului poate fi ca urmare a unor accese juridice pe site.

Dezavantajul

În cazul în care sunt făcute ajustări permanente șabloanele vor trebui să le facă disponibile pentru înregistrare, și apoi „read-only“. Pentru a actualiza CMS si plug-in-uri sunt, de asemenea, necesare pentru a „îndepărtarea“ de o astfel de protecție. Această procedură pare a fi deosebit de dificil pentru webmasteri lipsit de experiență și acestea sunt, în detrimentul securității, decide să scoată o anumită protecție, permițând intrarea la toate fișierele și directoarele, uneori.

Prin urmare, problema protecției CMS trebuie să găsească un echilibru între comoditatea de serviciu site-ului și nivelul de securitate care ar satisface proprietarul său.

Spargerile de protecție prin găzduirea

Înainte de aceasta, am considerat doar o protecție împotriva atacurilor bazate pe Web, dar există o mulțime de moduri de a hack în site-ul prin FTP, SSH, web hosting panoul de control și cu site-urile vecine. Consolidarea securității acestor servicii și a componentelor posibil.

Pentru a seta parole complexe la FTP și SSH. Nu le păstrați în client și se schimbă frecvent.

Utilizați porturile non-standard pentru conectarea FTP / SSH.

Actualiza regulat panoul de control web hosting.

Instalați patch-uri de securitate de pe kernel-ul de server și serviciile sale.

(Ultimele două elemente de pe shared hosting - este de a avea grijă de administratorii de sistem).

Mai multe dintre elementele de mai sus vor fi în măsură să aducă la viață, cu atât mai mult de securitate va fi site-ul.

Se pune întrebarea - ce să facă cu plugin-uri de securitate pentru CMS. Indiferent dacă sunt sau nu să le folosească?

Compania: AGIMA
Poziția: Șef Departament Dezvoltare

Pentru AGIMA, pentru o companie care ii pasa de clienții săi, este esențial pentru a oferi clienților noștri cu servicii de calitate și am pus acest concept, de asemenea, site-ul web integrat de securitate și un server de web. De aceea, cu atenție la alegerea instrumentelor care vor fi utilizate în formulare.

De exemplu, noi de multe ori nu se angajează să utilizeze cea mai mare parte a profitului CMS, abordare a securității lasă mult de dorit: în cazul în care un proiect open source, scrie oricine poate, și această persoană poate să lipsească timpul sau înclinația de a investiga separat unitatea sa pentru de securitate. În plus, dezvoltarea acestui proiect open source este responsabil pentru securitatea și integritatea întregului sistem poate să nu fie deloc.

Încercăm să folosim un CMS, care este testat în mod constant pentru vulnerabilități, și în care aplicație web firewall - nu este doar o frază goală, ci un instrument real de lucru. O astfel de CMS, de exemplu, este Bitriks-1C. Cu toate acestea, după cum sa menționat în mod corect de către Grigorie în articolul său, nici modul nu te va proteja împotriva tuturor amenințărilor posibile. În orice moment, a fost principala amenințare pentru creierul uman, mai degrabă decât algoritmi exact - este încă o dată dovedit Kevin Mitnick.

Tot ceea ce a făcut-om, pot fi analizate și tocat de către om. Acesta este motivul pentru care, în ultimii ani, am observat o mare dinamica de creștere aplicații pentru competența de siguranță: cred clienții să înțeleagă că riscul reputațional pentru ei este mult mai scump de investiții cheltuite pentru securitatea site-ului. Pentru clienții noștri, am dezvoltat o listă de servicii pentru a asigura continuitatea și securitatea site-ului: acesta este pictat în anul următor fereastra tehnologică, în timpul căreia vom instala o actualizare de software, efectuați activitatea de a aborda vulnerabilitățile identificate, detecta, de asemenea, modificări neautorizate la codul site-ului dvs., și schimbarea planificată a parolelor și multe proceduri similare.

Securitatea - aceasta este o parte foarte importantă a funcționării site-ului. Din anumite motive, am decis să se gândească la securitate, de exemplu, apartamentul său (pentru a cumpăra ușă mai solidă, a pus noi încuietori, pune sisteme de securitate), dar nu a făcut să se gândească la securitatea afacerii lor în web - deși prejudiciul poate fi destul de comparabile.

Compania: ITECH.group
Poziția: Director Departament Dezvoltare

Orice instrument de replicat va fi întotdeauna atacat. Acest lucru este valabil nu numai pentru plug-in-uri pentru Web, și la întreaga clasă de sisteme de protecție. Mai mult decât atât, mai multe comune este remediul, cu atât mai probabil că va fi piratat. Explicația pentru acest lucru este destul de simplu: atacatorul nu va cheltui forțele lor la „pick deschise“ ceea ce sistemul de protecție ca beneficiile sale de rupere nu va acoperi costurile de publicitate de rupere.

Atunci când o soluție devine popular, este atacat imediat, ea atrage atenția hackeri. După înțelegerea modului în care sistemul funcționează o singură dată, și a constatat vulnerabilitatea acesteia, accesul atacator obține la toate site-urile web care folosesc acest sistem sunt protejate și devin cunoscute și celebru în cercurile lor. Se pare că, uneori, sistemul protejat de „artizanală“ mod, sunt mai rezistente la atac decât un sistem protejat de o varietate de soluții comerciale. Acest lucru nu înseamnă că de pachete de soluții ar trebui să fie eliminate o dată pentru totdeauna - trebuie doar să se apropie cu pricepere și în mod deliberat pentru utilizarea lor, în conformitate cu regula de suficiență rezonabilă. Și, de asemenea, să păstreze în minte faptul că fiabilitatea protecției orice resursă de informații nu depinde întotdeauna de un singur sistem, ci pe un set de măsuri care trebuie luate pentru a proteja. Acest complex include nu numai pur mijloace tehnologice, ci și organizarea: formarea, restricționarea accesului fizic de către persoane neautorizate, reglementările privind stabilirea și administrarea de web-site-uri, inclusiv, și hosting.