Самые уязвимые CMS по версии Яндекса

Яндекс опубликовал статистику по наиболее распространенным CMS и уязвимостям, позволяющим размещать на взломанных сайтах вредоносный код, а также дал рекомендации по защите CMS.

Общая статистика по CMS

По данным Яндекса, доли CMS на популярных российских сайтах, CMS которых удалось определить, выглядят следующим образом:



Видно, что 50% из топ-10000 заражённых сайтов используют систему DLE, а популярные сайты из топ-10000 либо отказались от неё, либо успешно её маскируют, чтобы избежать атаки. При этом они продолжают использовать WordPress и Joomla, которые тоже часто встречаются на заражённых сайтах.


WordPress




Из этих данных следует, что частота использования большинства версий CMS WordPress на обычных и на заражённых сайтах примерно одинакова. При этом чаще всего заражёнными являются сайты, использующие WordPress 3.2.1, 3.1.3 и 2.9.2, эти же версии широко распространены на незаражённых популярных сайтах. Вебмастерам таких  сайтов стоит соблюдать правила безопасности особенно тщательно, чтобы не допустить взлома и заражения.
Только за август и сентябрь 2011 опубликовано 57 новых уязвимостей WordPress, причём все они находятся в дополнительных компонентах. Уязвимости присутствуют в модулях wp-forum, wp-slimstat, wordpress automatic upgrade и других. С общим обзором уязвимостей WordPress можно ознакомиться здесь.


Joomla





Анализ показывает, что CMS Joomla версии 1.5 одинаково часто встречается как на обычных, так и на заражённых сайтах. Владельцам сайтов, использующих эту версию Joomla,  тоже рекомендуется уделять безопасности особое внимание. С начала года было опубликовано 38 новых уязвимостей в компонентах Joomla. В частности, об уязвимости в Joomla Datsogallery 1.3.1 можно прочитать на этой странице, а детальный список уязвимостей приводится здесь. Рекомендуем тщательно проверять на наличие уязвимостей модули  Joomla, которые используются для реализации форумов.


Рекомендации

Чтобы CMS вашего сайта не взломали, нужно соблюдать следующие правила:
  1. Регулярно обновляйте CMS.
  2. Скрывайте тип и версию установленной CMS и её плагинов, не указывайте их в коде страницы. Кроме того, нужно следить за тем, чтобы сайт нельзя было обнаружить с помощью специальных поисковых запросов-«дорков», которые злоумышленники используют для поиска уязвимых CMS.
  3. Не используйте контрафактные версии CMS – в некоторых случаях в них умышленно снижена степень безопасности или даже внедрены готовые backdoor’ы (пример – некоторые выпуски CMS DLE от M.I.D. с backdoor от Zloy).
  4. Проверяйте все без исключения данные, которые пользователь может ввести на страницах сайта или напрямую передать серверным скриптам при помощи запросов. Это может потребовать самостоятельной доработки модулей CMS. Например, такая доработка фильтрации входных данных позволяет снизить уязвимость DLE Shop. Для тестирования  этих проверок рекомендуем привлечь специалистов по тестированию на проникновение (penetration-тестированию).
  5. Использовать минимум сторонних скриптов, модулей, расширений. В самих пакетах CMS уязвимостей обычно немного, в основном они приходятся на дополнения, причём как сторонней разработки, так и официальные.
  6. Вебмастера и администраторы должны работать в безопасном окружении и выполнять правила безопасной работы в интернете (в частности, не сохранять пароли в браузере и FTP-клиенте, защищать рабочее место антивирусом и файрволлом).
  7. Перед тем, как устанавливать на веб-сервер какое-либо ПО, очень полезно узнать о его уязвимостях и способах их устранения с помощью The Open Source Vulnerability Database.


7 комментариев

avatar
А почему нет в статистике CMS Drupal?
avatar
Это надо у Яндекса спрашивать :)
Скорей всего потому что он не такой популярный, как WordPress и DLE. В России точно.
avatar
Может потому что ее не так часто ломают?
Я где-то слышал, что у Друпала хорошо проработана безопасность.
avatar
Интересно ещё было бы узнать про MODx, для меня вдруг актуальна эта CMS стала. :)
avatar
Из чего следует, что WordPress — самая массовая и при это достаточно безопасная CMS для сайта.

Я сделал правильный выбор. :)
avatar
  • ERSEO
  • 0
Меня на WorDpress недавно взломали как раз.
avatar
во всяком случае от DLE эти диаграммы меня отговорили.

Оставить комментарий