Бизнес форум «Выгодное Дело»


Все о бизнесе в сети Интернет, об Интернет-магазинах, рекламном бизнесе в Интернете и т.п.



При поддержке:
Ответить
 
Опции темы
30.12.2014, 13:49   #1
ArchiZ
Новичок
 
Возраст: 30
Регистрация: 30.12.2014
Сообщений: 3
Благодарностей: 0
Вес репутации: 0

Лампочка Что делать, если плагины безопасности CMS не защищают сайт от взлома?

Все, кто имеет веб-сайт, сталкивались с вопросом обеспечения его безопасной стабильной работы, что требует применения комплексных мер по защите веб-ресурса.


Для этих целей необходимы совместная одновременная работа проактивной защиты или WebApplicationFirewall (WAF) с постоянным контролем за целостностью системы файлов, использование наиболее эффективных систем резервного копирования, сложная система паролей и авторизации при входе в админ-панель, а также множество других наиболее современных технологий, способных предохранить веб-сайт от несанкционированного вмешательства, ограничивающих доступ сторонних неавторизованных лиц к контролю над интернет-ресурсом и его контентом.

Цитата:
Далеко не каждая система управления сайтами (CMS) имеет необходимый встроенный функционал, позволяющий полноценно предотвратить проникновение на сайт и гарантировать сохранность его структуры и контента.
Большинство из наиболее распространенных CMS, таких как Wordpress, Joomla или Drupal и др., в базовой комплектации поставляются с достаточно ограниченными способами защиты веб-ресурса.

Как же поступить, если в стандартном комплекте отсутствуют необходимые средства обеспечения безопасности сайта?

Самый простой способ решения этой проблемы – это установка дополнительных модулей и плагинов либо узконаправленных, осуществляющих только специализированные операции, как, например, регулярное резервное копирование и при необходимости восстановление контента и баз данных сайта (WordpressDBBackup, AkeebaBackup и др.), либо широкого применения, которые постоянно контролируют активность на сайте, позволяющие фильтровать, блокировать и восстанавливать данные (SucuriSecurity, RSFirewall и др.).

Пытаясь обезопасить свой сайт от взломщиков и вредоносных программ, веб-мастер инсталлирует множество разнообразных охранных расширений по принципу: «лучше больше, чем меньше», а в дополнение к внутренним модулям еще и использует внешние антивирусные ресурсы, которые, в свою очередь, проверяют и защищают сайт от кодов-вредителей.

Первое время все вроде бы отлично работает, но позднее вдруг выясняется, с хостинг-аккаунта посыпался спам, а, набрав имя сайта, пользователь почему-то попадает на эротические странички. Более детальный анализ показывает, что сайт все-таки подвергся взлому или заражению. Как же это могло произойти при таком обилии постоянно действующих секьюрити-сервисов и программ?

Цитата:
К сожалению, приходится констатировать факт, что стопроцентную гарантированную защиту сайта не обеспечить только использованием расширений CMS и антивирусных сервисов.
Дело в том, что эти программные продукты работают на прикладном пользовательском уровне и сами являются составляющей системы управления сайтом. Посредством этих программных модулей можно лишь обеспечить более или менее качественный мониторинг и оповещение о выявленных нарушениях в функционировании сайта.

Чтобы получить более надежную защиту необходимо использовать специальные скрипты, работающие на уровне сервера и операционной системы.

Для правильной организации политики безопасности и предотвращения хакерских атак необходимо, прежде всего, знать каким образом взломщик добирается до ресурсов, как он проникает в систему и фиксирует в ней свои коды, то есть думать и поступать подобно хакеру.

Разберем наиболее известные варианты взлома, используемые хакерами.

Использование уязвимых мест в CMS и компонентах
Наиболее часто хакерами используются такие слабые места, как ArbitraryFileUpload, RemoteCodeExecution, SQL/ noSQL, Remote (Local) FileInclusion, XSS, XSRF, XXE и др. Найдя уязвимое место, взломщик имеет возможность установить хакерский шелл или специально написанный программный код, благодаря чему, выкрасть аутентификационные куки (к примеру, хешем пароля) и в результате иметь абсолютный или частичный контроль над данными не только взламываемого сайта, но и всех сайтов аккаунта на хостинг-сервере, распоряжаться данными как пожелает и своими действиями скомпрометировать сайт.

Атака на админ-панель (Брутфорс или кража пароля)

Самыми распространенными вариантами атак на веб-сайт являются подбор пароля (брутфорс), перехват пароля доступа к административной панели или кража хэша прямо из куки.

Цитата:
Имея пароль, хакер свободно войдет в панель управления сайта и получит FTP доступ ко всей имеющейся на хостинге информации, изменит файлы и шаблоны, включит в контент вредоносный или вирусный программные модули, перенаправит пользователей на другой сайт-паразит.
Также ему становится доступной вся конфиденциальная информация о самом интернет-ресурсе и его собственнике.

Несанкционированное проникновение посредством FTP

Взлом FTP доступа за счет захвата или подбора паролей также пользуется большой популярностью. Умея манипулировать всеми имеющимися на хостинг-сервере файлам, взломщик легко получает все необходимые пароли из файлов конфигурации и, как следствие, полный доступ к панели управления.

Цитата:
Более того, хакер может переносить и изменять файлы веб-ресурса непосредственно через FTP доступ, загружая дополнительные файлы и скрипты и меняя содержимое настроек сайта, а также его контента.
Чаще всего этот вид взлома становится доступным по неосторожности веб-мастеров, не придающих большое значение соблюдению правил безопасности (использование открытых wifi-сетей для входа по FTP, сохранение паролей в FTP-клиентах). Таким образом, получить пароли FTP-аккаунта не составляет большого труда.

Проникновение посредством SSH

Такое проникновение на хостинг-сервер является более сложным, чем через FTP, поскольку здесь используются шифрованные транспортные уровни.

Цитата:
Для атак такой сложности необходимо создание SSH-тунелинга трафика, атакуя по принципу MiTM (“человек посередине”), включение в SSH сессию своих данных и получение контроля над файлами хостинг-аккаунта.
В этом случае применяются специализированные программы взлома, такие, как Intercepter-NG. Но нужно отметить, что в случае использования SSH сервисом стандартного порта 22 и несложной системы паролей несанкционированное проникновение на сайт намного упрощается.

Проникновение на сайт через соседние хостинг-аккаунты

Многие хостинг провайдеры предоставляют место под сайт, используя единое файловое пространство, и в дополнение пользуются тем самым сервером для хранения баз данных. Такое размещение сайтов позволяет через взлом менее защищенного соседнего аккаунта получить доступ к нужному ресурсу. Обычно доступы к базам данных хранятся в таких файлах как wp-config.php, configurations.php и т. п.

Цитата:
Получив доступ к этим файлам и базам данных, взломщик внедряет свой собственный аккаунт администратора или через SQL-запрос загружает бэкдор.
В арсенале современных хакеров сегодня имеются специализированные программные продукты, с помощью которых данная программа автоматизирует эту процедуру и позволяет осуществить атаку за считаные секунды. Возможность такого типа атаки на прямую зависит от профессионализма хостинг-администраторов и создателей сайтов, регламентирующих права доступа к файлам и папкам сайта.

Взлом административной панели хостинг-сервера

Как и любое другое программное обеспечение, административная панель хостинг-провайдера может также иметь свои слабые места, знание которых дает хакеру возможность подбора пароля и получения абсолютного контроля хостинга.

Использование слабых мест операционной системы и сервисов хостинга

Со временем в любой операционной системе (ОС) хакеры находят «лазейки» в сервисах обслуживания сетей, благодаря чему могут несанкционированно управлять контентом, осуществлять различные действия и иметь неавторизованный доступ к каждому интернет-порталу сервера, как, например, произошло в 2011 году, когда поврежденными стали сразу порядка 70000 сайтов хостинга InMotion.

Решение данной проблемы лежит, прежде всего, в своевременной установке апгрейдов ОС и программного обеспечения, а также соблюдении правил и требований политики безопасности.

Таким образом, хакеры обладают большим набором средств и методов проникновения на сайты.

Давайте теперь выясним, насколько полезными являются плагины безопасности и внешние противовирусные сервисы для предотвращения хакерских вмешательств.

Закрытие “лазеек” сайта (предотвратить использование слабых мест сайта)
Плагины могут лишь частично обезопасить сайт от посягательства злоумышленников.

Большую роль здесь играют особенности используемой CMS и полномочия, получаемые различными расширениями, модулями и компонентами от системы.

Цитата:
Для закрытия основных уязвимостей списка OWASP расширения системы безопасности сайта должны иметь особые привилегии фильтрации пользовательских запросов и информации баз данных.
Хуже обстоит дело с теми секьюрити-приложениями, которые сами содержат «прорехи» и ошибки (BulletProof Security CVE-2013-3487, CVE-2012-4268, Better WP Security CVE-2012-4264, CVE-2012-4263).

Также угрозу безопасности сайта представляют программные коды, работающие вне CMS как процедура масштабирования изображений timthumb.php, визуальный редактор fckeditor. Обеспечить защиту таких сайтов за счет плагинов не удастся, и угроза остается актуальной.

Цитата:
Внешние антивирусные сервисы чаще всего исполняют только информативную функцию, проводя регулярный мониторинг файлов и изменений на хостинг-сервере, сообщая об этом владельцу сайта (часто с опозданием или ошибочно).
При этом такие сервисы не несут защитной функции. Более эффективным будет использование сервисов, фильтрующих запросы HTTP от посетителей сайтов непосредственно перед передачей управления самой CMS, так как происходит при работе Web Application Firewall.

На основании вышесказанного можно сделать вывод, что обеспечить 100% гарантированную защиту веб-сайта использованием только CMS расширений и внешних приложений невозможно.

Защита админки от постороннего вмешательства

Сегодня для борьбы с ботами, пытающимися подобрать пароли, и проникновением в административную панель лиц с неизвестных IP-адресов разработано большое многообразие различных плагинов как, например, LoginLockDown, jSecure, RSFirewall и др.

Цитата:
Эти расширения прекрасно выполняют поставленную задачу. Однако они слабо влияют на увеличение уровня защищенности сайта и панели управления.
Они не могут предотвратить проникновение злоумышленников с «черного входа», таких, как использование SQL инъекций для добавления нового административного аккаунта, фальсификация сессии или быстрая авторизация администратора за счет украденного куки.

Эти методы наиболее часто применяются при целенаправленном взломе сайта и не могут быть полностью исключены работой плагинов и сервисов.

Предохранение от других способов проникновения

Суммируя всю вышеизложенную информацию можно с уверенностью заявить, что, несмотря на самые современные функции проверки и защиты, используемые плагинами безопасности и внешними приложениями, они не в состоянии предотвратить атаки посредством FTP, SSH или панель хостинг-администрирования. Это объясняется их различными уровнями работы.

Как же усилить защищенность сайта, созданного на базе CMS-платформ?

Защита от HTTP атак (через WEB)

Система файлов и каталогов, интернет-сервер и PHP интерпретатор предоставляют инструменты и средства, предупреждающие проникновение на сайт посредством WEB.

Для этого имеется функция “CMSHardening”, называемая «цементированием сайта» и включающая в себя:

1. Установка прав доступа и записи файлов и папок.

2. Контроль запуска различных скриптов.

3. Идентификация администратора инструментами хостинг-сервера.

4. Контроль и запрет использования системных PHP –функций.

В идеальном варианте, установив атрибуты всех файлов и каталогов в состояние «только чтение», запретив использование специальных функций системы и chmod, защитив админ-панель и инструменты (phpMyAdmin и др.) с помощью серверных функций идентификации администратора и настроив WAF, веб-мастер не оставляет никаких возможностей хакерам и ботам установить дополнительные скрипты или произвести изменения сайта через PHP и базы данных.

Это обусловлено следующими факторами:

1. Установка атрибутов директорий в состояние «только чтение» препятствует загрузке любых кодов, включая веб-шеллы и бэкдоры на хостинг сайта.

2. Невозможность смены атрибутов файлов и каталогов сайта благодаря отключению chmod и опций системы.

3. Запрет опций PHP в php.ini, отвечающих за возможность внесения модификаций в файлы и директории заблокирует исполнение уже ранее загруженных вредоносных кодов и программ взлома.

4. WebApplicationFirewall выполняет блокировку несанкцинированных HTTP запросов к базам SQL и внесение изменений.

5. Специальная настройка аутентификации средствами сервера, как, например, разрешение работы в админ-панели и с базами данных исключительно с заданных в htaccess IP адресов, не позволит сторонним лицам вносить любые изменения.

К сожалению такая идеальная ситуация в реальной жизни невозможна, так как препятствует нормальной работе самого сайта и CMS.

Поэтому придется внести коррективы, ослабляющие защиту:

• Некоторые папки требуют разрешения внесения изменений (cache/upload/tmp/backup и др.), при этом необходимо либо закрыть их доступность через HTTP (DenyfromAll в .htaccess файле), либо установить разрешение отдельных типов (php_flag engine 0 и разрешение выгрузки исключительно изображений/мультимедиа/документов и .js с .css)

• Для нормальной работы некоторых расширений требуются данные внешних источников, разрешение которых осуществляется через allow_url_fopen = 1 и fsockopen в php.ini.

Настройка оптимальной фильтрации запросов HTTP в WAF тоже трудоемкий и длительный процесс, требующий постоянной настройки и дополнений, чтобы «научить» firewall различать разрешенные запросы от хакерских.

Не стоит также забывать об атаках, направленных не на сайт непосредственно, но на нарушение работы всего сервера и его операционной системы, предельно используя и расходуя ресурсы хостинга (DOS атаки). Против такой угрозы плагины и сервисы бессильны.

Недостатки высокого уровня защищенности

Не стоит забывать, что повышение уровня защиты сайта привносит определенные неудобства в обслуживание сайта. Например, для использования защиты по IP идентификации администратор должен иметь постоянный IP адрес, прописанный htaccess, nginx.conf или хостинг-панели.

При использовании динамического адреса его придется постоянно менять в настройках.

Внося какие-либо изменения в шаблоны, или делая обновления компонентов, необходимо постоянно менять свойства файлов и папок с «только чтение» на «чтение и запись» и по окончании работы восстанавливать запрет записи.

Цитата:
Часто администраторы сайтов жертвуют безопасностью сайта, устанавливая разрешение записи для всех каталогов и файлов.
Таким образом, каждый веб-мастер сам ищет приемлемый для него баланс между защищенностью веб-ресурса и удобством его обслуживания.

Защита от взлома со стороны хостинга

Помимо веб-атак, рассмотренных ранее существует огромное разнообразие хакерских проникновений через FTP, SSH,сайты-соседи и админ-панель хостинга.

Имеются также и возможности обезопасить сайт, и в этих случаях следуя правилам:

1. Использовать SFTP протокол взамен FTP, а если это невозможно, то обеспечить FTP только для строго определенных IP адресов.

2. Использовать сложную систему паролирования FTP и SSH без сохранения в клиентах и регулярную замену паролей новыми.

3. Пользоваться нестандартными портами FTP/SSH подключений.

4. Максимально возможно разделить сайты друг от друга, создавая для каждого отдельный аккаунт на сервере хостинга и установить минимальные права доступа к контенту и директориям.

5. Проводить регулярное обновление программного обеспечения и панели управления хостинга.

6. Инсталлировать специальные патчи ядра сервера и сервисов, нацеленные на обеспечение безопасности.

Цитата:
За исполнение пятого и шестого пунктов несут ответственность системные администраторы хостинг-провайдера.
Защищенность сайта напрямую зависит от количества выполненных правил.

Заключение

Итак, имеет ли смысл использование плагинов безопасности в CMS?
Учитывая тот факт, что такие расширения постоянно контролируют целостность, осуществляют регулярное резервное копирование и мониторинг сайта, их установка является полезной. При этом все же основной упор в вопросе обеспечения безопасности нужно делать на средства и настройки хостнга.




30.12.2014, 13:49
Выгодное дело
Бизнес форум
Лампочка Что делать, если плагины безопасности CMS не защищают сайт от взлома?

30.12.2014, 19:51   #2
vitorija
Интересующийся
 
Возраст: 33
Регистрация: 23.12.2014
Сообщений: 13
Благодарностей: 0
Вес репутации: 0

По умолчанию Re: Что делать, если плагины безопасности CMS не защищают сайт от взлома?

Что человек может сотворить - то же самое он в силах уничтожить! Придумали бизнес в интернете - заботьтесь о безопасности.
02.01.2015, 16:31   #3
VictorV
Интересующийся
 
Аватар для VictorV
 
Регистрация: 23.12.2014
Сообщений: 26
Благодарностей: 1
Вес репутации: 0

По умолчанию Re: Что делать, если плагины безопасности CMS не защищают сайт от взлома?

Нарушение безопасности интернет-магазина компрометирует все его другие достоинства. Поэтому даже установив наилучшие плагины безопасности, необходимо все время и комплексно контролировать и улучшать защиту.
02.01.2015, 16:54   #4
Annacom
Интересующийся
 
Возраст: 25
Регистрация: 20.11.2014
Сообщений: 20
Благодарностей: 0
Вес репутации: 0

По умолчанию Re: Что делать, если плагины безопасности CMS не защищают сайт от взлома?

Самый распространенный способ взлома - это действительно подбор паролей, это в то же время зависит от недостатка уровня защиты. Безопасность должна быть на первом месте, и в наше время достаточно способов защитить свой ресурс.
03.01.2015, 12:33   #5
shev-mike
Новичок
 
Аватар для shev-mike
 
Регистрация: 30.12.2014
Сообщений: 2
Благодарностей: 0
Вес репутации: 0

По умолчанию Re: Что делать, если плагины безопасности CMS не защищают сайт от взлома?

Использовать самописную CMS. Известные уязвимости к ней нельзя будет применить. А вот от подбора паролей и прочих уязвимостей она не спасет. Стоит раз потратиться, заказать и спокойно работать.
30.01.2016, 13:55   #6
Logos
Пользователь
 
Аватар для Logos
 
Пол: Мужской
Регистрация: 06.01.2016
Сообщений: 52
Благодарностей: 12
Вес репутации: 42

По умолчанию Re: Что делать, если плагины безопасности CMS не защищают сайт от взлома?

Так как самым распространенным вариантом взлома является брутфорс атака, то в 90% случаев поможет:
1) установка сложного и длинного пароля (от 20 символов);
2) смена логина в админпанели со стандартного на свой уникальный;
3) установка плагинов, блокирующих вход при нескольких неправильных вводах пароля.
Это поможет в большинстве случаев избавиться от "дураков" и "шаловливых ручек". Если же вас взломать поставили за цель - вас взломают, какие бы защиты вы не применяли.
Ответить

Социальные закладки


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Защита сайта от взлома Serj2375 Бизнес в Интернете 15 28.02.2018 20:04
Что делать? Mnichek Бизнес-форум для начинающих 9 28.01.2017 17:52
Что делать если периодически отключают свет, когда работает советник? cnejinka Форекс для новичков 14 26.07.2016 18:38
Что делать? telexs Рынок форекс: общие вопросы 4 03.10.2010 15:33


Последние темы
Последние ответы
Опрос

Пригодилось ли Вам высшее образование?
Да, работаю по профессии - 18.18%
42 Голосов
Да, хоть работаю в другой сфере - 22.08%
51 Голосов
В результате открыл свой бизнес - 5.19%
12 Голосов
Изредка помогало - 16.45%
38 Голосов
Совершенно не пригодилось - 19.48%
45 Голосов
Учеба - потерянное время - 9.09%
21 Голосов
Другое - 9.52%
22 Голосов
Всего голосов: 231
Вы ещё не голосовали в этом опросе.
Популярные статьи
» 22.01.2017, 01:15
» 18.01.2017, 21:31
» 08.01.2017, 15:18
Яндекс.Метрика
Текущее время: 22:05. Часовой пояс GMT +4.