Исследования по безопасности CMS были не так давно опубликованы компанией «Яндекс». В этой статье мы прокомментируем результаты, полученные в ходе исследований, и советы специалистов «Яндекса» по поводу вопросов, связанных с защитой сайтов от взломов при использовании CMS «1С-Битрикс».
Исследования по безопасности CMS были не так давно опубликованы компанией «Яндекс». В этой статье мы прокомментируем результаты, полученные в ходе исследований, и советы специалистов «Яндекса» по поводу вопросов, связанных с защитой сайтов от взломов при использовании CMS «1С-Битрикс».
Мастера «Яндекса» утверждают, что злоумышленники готовы вкладывать свои силы, средства и время в обнаружение уязвимостей системы особенно часто в том случае, если система управления контентом пользуется большой популярностью и нередко используется на часто посещаемых сайтах. Какие-либо слабые места, которые можно обнаружить в распространенной CMS, могут стать причиной взлома не одного сайта.
Согласно исследованиям «Яндекса», коммерческие движки менее уязвимы, чем бесплатные, результаты показали насколько. Это можно объяснить таким же подходом разработчиков коммерческих CMS к безопасности системы, как и у специалистов поисковых систем.
Специалисты «1С-Битрикс», рассматривают веб-безопасность со сходных позиций уже давно и, для того чтобы оградить свои сайты и не допустить взлома, советуют придерживаться некоторых рекомендаций. Наши комментарии к советам «Яндекса».
1. Необходимо регулярное обновление CMS.
Нужно использовать технологию обновлений SiteUpdate «1С-Битрикс».
2. Версию и тип установленной CMS и ее плагинов необходимо тщательно скрывать и не указывать в коде страницы. Также нужно наблюдать за тем, чтобы сайт невозможно было обнаружить злоумышленникам, которые используют специальные поисковые запросы, «дорки», для обнаружения уязвимых CMS. Номер версии в «1С-Битрикс» скрыт.
3. Контрафактные версии CMS не следует использовать, поскольку степень безопасности в них может быть снижена намеренно, а также в некоторых случаях введены готовые backdoor’ы. Например, в некоторых из выпусков CMS DLE от M.I.D. с backdoor от Zloy.
4. Необходимо проверять абсолютно все данные, вводимые пользователем на страницы сайта или при помощи запросов напрямую передаваемые серверным скриптам. В этом случае, возможно, потребуется самостоятельная доработка модулей CMS. К примеру, доработка фильтрации входных данных поможет снижению уязвимости DLE Shop.
В «1С-Битрикс» ошибки веб-разработчиков закрывает система «Проактивной защиты». Предохранение от множества уже известных атак на веб-приложения обеспечивает проактивный фильтр (WAF — Web Application Firewal). Другими словами, благодаря ему происходит блокировка каких-либо вмешательств на сайт. С помощью «веб-антивируса» из кода сайта «вырезаются» подозрительные объекты и выявляются потенциально опасные участки в HTML-коде.
5. Необходимо использовать как можно меньше сторонних расширений, модулей и скриптов. Уязвимостей непосредственно в пакетах CMS обычно не так много и связаны они в основном с дополнениями. При этом неважно, какая разработка — официальная или сторонняя.
В продукт «1С-Битрикс: Управление сайтом» уже встроены механизмы, которые являются защитой сайта от ошибок. Они также позволяют эксплуатировать допущенные разработчиками сайтов недоработки и уязвимости.
6. Администраторы сайтов и веб-мастера должны соблюдать правила безопасности при работе в Интернете и выполнять все действия в безопасном окружении. Например, обязательно защищать антивирусными программами и файрволлом рабочее место, не сохранять свои пароли в FTP-клиенте и браузере.
Для аутентификации администраторов на сайте мы советуем использовать систему одноразовых паролей (ОТР) для «1С-Битрикс».
7. Заранее советуем выяснить степень уязвимости и способы устранения при помощи The Open Source Vulnerability Database, прежде чем устанавливать какое-либо ПО на веб-сервер.
Наш опыт свидетельствует о том, что многие проблемы, связанные с безопасностью сайтов, могут возникнуть по вине разработчиков вследствие их ошибок и из-за незащищенности хостинга. «Яндекс» занимается исследованием уязвимости сайтов, а не CMS. Наша задача — максимально защитить владельцев сайтов и их разработчиков от взломов. Целый комплекс предупреждающих мер по защите сайтов реализован именно в платформе «1С-Битрикс».
Мастера «Яндекса» утверждают, что злоумышленники готовы вкладывать свои силы, средства и время в обнаружение уязвимостей системы особенно часто в том случае, если система управления контентом пользуется большой популярностью и нередко используется на часто посещаемых сайтах. Какие-либо слабые места, которые можно обнаружить в распространенной CMS, могут стать причиной взлома не одного сайта.
Согласно исследованиям «Яндекса», коммерческие движки менее уязвимы, чем бесплатные, результаты показали насколько. Это можно объяснить таким же подходом разработчиков коммерческих CMS к безопасности системы, как и у специалистов поисковых систем.
Специалисты «1С-Битрикс», рассматривают веб-безопасность со сходных позиций уже давно и, для того чтобы оградить свои сайты и не допустить взлома, советуют придерживаться некоторых рекомендаций. Наши комментарии к советам «Яндекса».
1. Необходимо регулярное обновление CMS.
Нужно использовать технологию обновлений SiteUpdate «1С-Битрикс».
2. Версию и тип установленной CMS и ее плагинов необходимо тщательно скрывать и не указывать в коде страницы. Также нужно наблюдать за тем, чтобы сайт невозможно было обнаружить злоумышленникам, которые используют специальные поисковые запросы, «дорки», для обнаружения уязвимых CMS. Номер версии в «1С-Битрикс» скрыт.
3. Контрафактные версии CMS не следует использовать, поскольку степень безопасности в них может быть снижена намеренно, а также в некоторых случаях введены готовые backdoor’ы. Например, в некоторых из выпусков CMS DLE от M.I.D. с backdoor от Zloy.
4. Необходимо проверять абсолютно все данные, вводимые пользователем на страницы сайта или при помощи запросов напрямую передаваемые серверным скриптам. В этом случае, возможно, потребуется самостоятельная доработка модулей CMS. К примеру, доработка фильтрации входных данных поможет снижению уязвимости DLE Shop.
В «1С-Битрикс» ошибки веб-разработчиков закрывает система «Проактивной защиты». Предохранение от множества уже известных атак на веб-приложения обеспечивает проактивный фильтр (WAF — Web Application Firewal). Другими словами, благодаря ему происходит блокировка каких-либо вмешательств на сайт. С помощью «веб-антивируса» из кода сайта «вырезаются» подозрительные объекты и выявляются потенциально опасные участки в HTML-коде.
5. Необходимо использовать как можно меньше сторонних расширений, модулей и скриптов. Уязвимостей непосредственно в пакетах CMS обычно не так много и связаны они в основном с дополнениями. При этом неважно, какая разработка — официальная или сторонняя.
В продукт «1С-Битрикс: Управление сайтом» уже встроены механизмы, которые являются защитой сайта от ошибок. Они также позволяют эксплуатировать допущенные разработчиками сайтов недоработки и уязвимости.
6. Администраторы сайтов и веб-мастера должны соблюдать правила безопасности при работе в Интернете и выполнять все действия в безопасном окружении. Например, обязательно защищать антивирусными программами и файрволлом рабочее место, не сохранять свои пароли в FTP-клиенте и браузере.
Для аутентификации администраторов на сайте мы советуем использовать систему одноразовых паролей (ОТР) для «1С-Битрикс».
7. Заранее советуем выяснить степень уязвимости и способы устранения при помощи The Open Source Vulnerability Database, прежде чем устанавливать какое-либо ПО на веб-сервер.
Наш опыт свидетельствует о том, что многие проблемы, связанные с безопасностью сайтов, могут возникнуть по вине разработчиков вследствие их ошибок и из-за незащищенности хостинга. «Яндекс» занимается исследованием уязвимости сайтов, а не CMS. Наша задача — максимально защитить владельцев сайтов и их разработчиков от взломов. Целый комплекс предупреждающих мер по защите сайтов реализован именно в платформе «1С-Битрикс».
Ссылка скопирована в буфер обмена