Бесплатный сыр только в мышеловке — уязвимости в CMS

Как уберечь пользовательские и свои данные на сайте. Пост для начинающих.

Привет! Это PR-CY — разработчики инструментов для сеошных задач. Наш сервис для анализа сайтов отслеживает позиции целевых страниц, находит проблемные URL и анализирует общее состояние сайта.

Разработчики CMS обещают универсальные решения, которые значительно удобнее самописных сайтов в том числе и потому, что в CMS заранее продуманы способы защиты от взломов и утечек данных.

Скачать бесплатные расширения, плагины или даже целый пакет CMS кажется привлекательной идеей — получить движок бесплатно, «допилить» под свой запрос и можно пользоваться.

Вы не можете быть уверены на 100%, что бесплатный плагин на «проверенном» сайте с плагинами не имеет в коде дыр, которые позволят злоумышленникам получить доступ к вашим и ваших пользователей данным.

Если вам ПО достается бесплатно, значит, вы платите чем-то другим. Кто-то все равно получает выгоду.

Если нет денег на платное ПО, поставьте бесплатную версию WordPress, но не пользуйтесь варезными сайтами.

У бесплатных CMS, таких как WordPress, Drupal, Joomla и других, тоже есть неприятные особенности. Их исходный код открыт, то есть кто угодно может его изучить, найти уязвимости и взломать сразу много сайтов на этой версии CMS.

Зачем взламывают сайты:

  • кража платежных реквизитов;

  • размещение фишинговых страниц для сбора данных пользователей;

  • рассылка спама по пользовательской базе;

  • размещение SEO-ссылок;

  • размещение рекламы.

Иногда сайты взламывают ради развлечения. Это может показаться странным, но будет очень обидно, если вам придется потратить свои ресурсы на восстановление сайта после того, как кто-то повеселился, согласитесь?

Как избежать уязвимостей CMS

  • Используйте только легальный софт из официальных источников.
  • Следите за обновлениями и устанавливайте их регулярно. В обновлениях исправляют уязвимости, а к старым версиям хакеры уже наверняка подобрали ключик.
  • Не используйте взломанные и самописные плагины для СMS.
  • Проверяйте сайт на уязвимости. Например, у WordPress есть уязвимостей WPScan, он проверяет основную версию, темы и плагины. Работает бесплатно с ограничением на количество проверок в сутки.
Уязвимости сайта на WP
Уязвимости сайта на WP

Итак, следите за уязвимостью своих сайтов и регулярно обновляйте софт, чтобы избегать веерных атак хакеров. Это не убережет от взлома на 100%, но существенно понизит риск.

5
2 комментария

Ломают любые системы. Закрытые проприетарные - не реже опенсорса.
Только на опенсорс вы заплатку получите спустя час после обнаружения, а на проприетарные - нет.
Опенсорс не значит "бесплатный сыр" - там другие модели монетизации.
Другое дело - нулленые кем-то шаблоны и плагины. Но там все закладки настолько примитивные, как правило, что любым пристойным плагином безопасности вылавливаются на раз - простейшим сопоставлением с данными из репо. Да и стоимость легального стаффа - в пределах 30-100 баксов, так что тут речь скорее про жадность и глупость, а не бесплатный сыр.

4
Ответить

Согласен. На wordpress создан каждый 6 сайт в мире. Конечно её будут исследовать на предмет уязвимости очень тщательно все стороны. Соответственно и ликвидироваться теоретические дырки будут очень оперативно. Просто не надо тащить и устанавливать на сайт всё, что не приколочено. Тогда и проблем будет меньше...

Ответить