Бесплатный сыр только в мышеловке — уязвимости в CMS
Как уберечь пользовательские и свои данные на сайте. Пост для начинающих.
Разработчики CMS обещают универсальные решения, которые значительно удобнее самописных сайтов в том числе и потому, что в CMS заранее продуманы способы защиты от взломов и утечек данных.
Скачать бесплатные расширения, плагины или даже целый пакет CMS кажется привлекательной идеей — получить движок бесплатно, «допилить» под свой запрос и можно пользоваться.
Вы не можете быть уверены на 100%, что бесплатный плагин на «проверенном» сайте с плагинами не имеет в коде дыр, которые позволят злоумышленникам получить доступ к вашим и ваших пользователей данным.
Если нет денег на платное ПО, поставьте бесплатную версию WordPress, но не пользуйтесь варезными сайтами.
У бесплатных CMS, таких как WordPress, Drupal, Joomla и других, тоже есть неприятные особенности. Их исходный код открыт, то есть кто угодно может его изучить, найти уязвимости и взломать сразу много сайтов на этой версии CMS.
Зачем взламывают сайты:
кража платежных реквизитов;
размещение фишинговых страниц для сбора данных пользователей;
рассылка спама по пользовательской базе;
размещение SEO-ссылок;
размещение рекламы.
Иногда сайты взламывают ради развлечения. Это может показаться странным, но будет очень обидно, если вам придется потратить свои ресурсы на восстановление сайта после того, как кто-то повеселился, согласитесь?
Как избежать уязвимостей CMS
- Используйте только легальный софт из официальных источников.
- Следите за обновлениями и устанавливайте их регулярно. В обновлениях исправляют уязвимости, а к старым версиям хакеры уже наверняка подобрали ключик.
- Не используйте взломанные и самописные плагины для СMS.
- Проверяйте сайт на уязвимости. Например, у WordPress есть уязвимостей WPScan, он проверяет основную версию, темы и плагины. Работает бесплатно с ограничением на количество проверок в сутки.
Итак, следите за уязвимостью своих сайтов и регулярно обновляйте софт, чтобы избегать веерных атак хакеров. Это не убережет от взлома на 100%, но существенно понизит риск.
Ломают любые системы. Закрытые проприетарные - не реже опенсорса.
Только на опенсорс вы заплатку получите спустя час после обнаружения, а на проприетарные - нет.
Опенсорс не значит "бесплатный сыр" - там другие модели монетизации.
Другое дело - нулленые кем-то шаблоны и плагины. Но там все закладки настолько примитивные, как правило, что любым пристойным плагином безопасности вылавливаются на раз - простейшим сопоставлением с данными из репо. Да и стоимость легального стаффа - в пределах 30-100 баксов, так что тут речь скорее про жадность и глупость, а не бесплатный сыр.
Согласен. На wordpress создан каждый 6 сайт в мире. Конечно её будут исследовать на предмет уязвимости очень тщательно все стороны. Соответственно и ликвидироваться теоретические дырки будут очень оперативно. Просто не надо тащить и устанавливать на сайт всё, что не приколочено. Тогда и проблем будет меньше...