Исследования по безопасности CMS были не так давно опубликованы компанией «Яндекс». В этой статье мы прокомментируем результаты, полученные в ходе исследований, и советы специалистов «Яндекса» по поводу вопросов, связанных с защитой сайтов от взломов при использовании CMS «1С-Битрикс».

Мастера «Яндекса» утверждают, что злоумышленники готовы вкладывать свои силы, средства и время в обнаружение уязвимостей системы особенно часто в том случае, если система управления контентом пользуется большой популярностью и нередко используется на часто посещаемых сайтах. Какие-либо слабые места, которые можно обнаружить в распространенной CMS, могут стать причиной взлома не одного сайта.

Согласно исследованиям «Яндекса», коммерческие движки менее уязвимы, чем бесплатные, результаты показали насколько. Это можно объяснить таким же подходом разработчиков коммерческих CMS к безопасности системы, как и у специалистов поисковых систем.

Специалисты «1С-Битрикс», рассматривают веб-безопасность со сходных позиций уже давно и, для того чтобы оградить свои сайты и не допустить взлома, советуют придерживаться некоторых рекомендаций. Наши комментарии к советам «Яндекса».

1.  Необходимо регулярное обновление CMS.

Нужно использовать технологию обновлений SiteUpdate  «1С-Битрикс».

2.  Версию и тип установленной CMS и ее плагинов необходимо тщательно скрывать и не указывать в коде страницы. Также нужно наблюдать за тем, чтобы сайт невозможно было обнаружить злоумышленникам, которые используют специальные поисковые запросы, «дорки», для обнаружения уязвимых CMS.

Номер версии в «1С-Битрикс» скрыт.

3.  Контрафактные версии CMS не следует использовать, поскольку степень безопасности в них может быть снижена намеренно, а также в некоторых случаях введены готовые backdoor’ы. Например, в некоторых из выпусков CMS DLE от M.I.D. с backdoor от Zloy.

4.  Необходимо проверять абсолютно все данные, вводимые пользователем на страницы сайта или при помощи запросов напрямую передаваемые серверным скриптам. В этом случае, возможно, потребуется самостоятельная доработка модулей CMS. К примеру, доработка фильтрации входных данных поможет снижению уязвимости DLE Shop.

В «1С-Битрикс» ошибки веб-разработчиков закрывает система «Проактивной защиты». Предохранение от множества уже известных атак на веб-приложения обеспечивает проактивный фильтр (WAF — Web Application Firewal). Другими словами, благодаря ему происходит блокировка каких-либо вмешательств на сайт. С помощью «веб-антивируса» из кода сайта «вырезаются» подозрительные объекты и выявляются потенциально опасные участки в HTML-коде.

5.  Необходимо использовать как можно меньше сторонних расширений, модулей и скриптов. Уязвимостей непосредственно в пакетах CMS обычно не так много и связаны они в основном с дополнениями. При этом неважно, какая разработка — официальная или сторонняя.

В продукт «1С-Битрикс: Управление сайтом» уже встроены механизмы, которые являются защитой сайта от ошибок. Они также позволяют эксплуатировать допущенные разработчиками сайтов недоработки и уязвимости.

6.  Администраторы сайтов и веб-мастера должны соблюдать правила безопасности при работе в Интернете и выполнять все действия в безопасном окружении. Например, обязательно защищать антивирусными программами и файрволлом рабочее место, не сохранять свои пароли в FTP-клиенте и браузере.

Для аутентификации администраторов на сайте мы советуем использовать систему одноразовых паролей (ОТР) для «1С-Битрикс».

7.  Заранее советуем выяснить степень уязвимости и способы устранения при помощи The Open Source Vulnerability Database, прежде чем устанавливать какое-либо ПО на веб-сервер.

Наш опыт свидетельствует о том, что многие проблемы, связанные с безопасностью сайтов, могут возникнуть по вине разработчиков вследствие их ошибок и из-за незащищенности хостинга. «Яндекс» занимается исследованием уязвимости сайтов, а не CMS. Наша задача — максимально защитить владельцев сайтов и их разработчиков от взломов. Целый комплекс предупреждающих мер по защите сайтов реализован именно в платформе «1С-Битрикс».