Компания «1С-Битрикс» о правилах защиты сайтов от взломов
 
Компания «1С-Битрикс» о правилах защиты сайтов от взломов
22.12.2012 19:33:00
Битрикс
149
Исследования по безопасности CMS были не так давно опубликованы компанией «Яндекс». В этой статье мы прокомментируем результаты, полученные в ходе исследований, и советы специалистов «Яндекса» по поводу вопросов, связанных с защитой сайтов от взломов при использовании CMS «1С-Битрикс». 
Исследования по безопасности CMS были не так давно опубликованы компанией «Яндекс». В этой статье мы прокомментируем результаты, полученные в ходе исследований, и советы специалистов «Яндекса» по поводу вопросов, связанных с защитой сайтов от взломов при использовании CMS «1С-Битрикс». 

Мастера «Яндекса» утверждают, что злоумышленники готовы вкладывать свои силы, средства и время в обнаружение уязвимостей системы особенно часто в том случае, если система управления контентом пользуется большой популярностью и нередко используется на часто посещаемых сайтах. Какие-либо слабые места, которые можно обнаружить в распространенной CMS, могут стать причиной взлома не одного сайта. 

Согласно исследованиям «Яндекса», коммерческие движки менее уязвимы, чем бесплатные, результаты показали насколько. Это можно объяснить таким же подходом разработчиков коммерческих CMS к безопасности системы, как и у специалистов поисковых систем. 

Специалисты «1С-Битрикс», рассматривают веб-безопасность со сходных позиций уже давно и, для того чтобы оградить свои сайты и не допустить взлома, советуют придерживаться некоторых рекомендаций. Наши комментарии к советам «Яндекса». 

1. Необходимо регулярное обновление CMS. 

Нужно использовать технологию обновлений SiteUpdate «1С-Битрикс». 

2. Версию и тип установленной CMS и ее плагинов необходимо тщательно скрывать и не указывать в коде страницы. Также нужно наблюдать за тем, чтобы сайт невозможно было обнаружить злоумышленникам, которые используют специальные поисковые запросы, «дорки», для обнаружения уязвимых CMS. Номер версии в «1С-Битрикс» скрыт. 

3. Контрафактные версии CMS не следует использовать, поскольку степень безопасности в них может быть снижена намеренно, а также в некоторых случаях введены готовые backdoor’ы. Например, в некоторых из выпусков CMS DLE от M.I.D. с backdoor от Zloy. 

4. Необходимо проверять абсолютно все данные, вводимые пользователем на страницы сайта или при помощи запросов напрямую передаваемые серверным скриптам. В этом случае, возможно, потребуется самостоятельная доработка модулей CMS. К примеру, доработка фильтрации входных данных поможет снижению уязвимости DLE Shop. 

В «1С-Битрикс» ошибки веб-разработчиков закрывает система «Проактивной защиты». Предохранение от множества уже известных атак на веб-приложения обеспечивает проактивный фильтр (WAF — Web Application Firewal). Другими словами, благодаря ему происходит блокировка каких-либо вмешательств на сайт. С помощью «веб-антивируса» из кода сайта «вырезаются» подозрительные объекты и выявляются потенциально опасные участки в HTML-коде. 

5. Необходимо использовать как можно меньше сторонних расширений, модулей и скриптов. Уязвимостей непосредственно в пакетах CMS обычно не так много и связаны они в основном с дополнениями. При этом неважно, какая разработка — официальная или сторонняя. 

В продукт «1С-Битрикс: Управление сайтом» уже встроены механизмы, которые являются защитой сайта от ошибок. Они также позволяют эксплуатировать допущенные разработчиками сайтов недоработки и уязвимости. 

6. Администраторы сайтов и веб-мастера должны соблюдать правила безопасности при работе в Интернете и выполнять все действия в безопасном окружении. Например, обязательно защищать антивирусными программами и файрволлом рабочее место, не сохранять свои пароли в FTP-клиенте и браузере. 

Для аутентификации администраторов на сайте мы советуем использовать систему одноразовых паролей (ОТР) для «1С-Битрикс». 

7. Заранее советуем выяснить степень уязвимости и способы устранения при помощи The Open Source Vulnerability Database, прежде чем устанавливать какое-либо ПО на веб-сервер. 

Наш опыт свидетельствует о том, что многие проблемы, связанные с безопасностью сайтов, могут возникнуть по вине разработчиков вследствие их ошибок и из-за незащищенности хостинга. «Яндекс» занимается исследованием уязвимости сайтов, а не CMS. Наша задача — максимально защитить владельцев сайтов и их разработчиков от взломов. Целый комплекс предупреждающих мер по защите сайтов реализован именно в платформе «1С-Битрикс».

Загрузка...