СтатьяБезопасность CMS: как обеспечить безопасность вашего сайта
Опубликовано: 2022-08-12Количество сайтов в Интернете растет, как и процент сайтов, которые каждый год подвергаются взлому. Это может быть бот, пытающийся воспользоваться известной уязвимостью, или прямая целенаправленная атака на вашу организацию. В любом случае, вы должны думать, что вас взломают . Такое мышление будет поощрять активное поведение и лучшие практики.
Если вы скептически относитесь к тому, что кто-то захочет взломать ваш веб-сайт, то как-нибудь загляните в свои веб-журналы. Скорее всего, вы найдете доказательства того, что кто-то или какой-то бот пытается взломать ваш веб-сервер. Если ваша организация известна, вы можете обнаружить, что это происходит каждый божий день. Крайне важно знать заранее, как могут произойти взломы, каковы могут быть последствия и как уменьшить ущерб. Давайте посмотрим, как они происходят.
Уязвимости кода
Одним из самых печально известных эксплойтов в Интернете была уязвимость в OpenSSL, известная как Heartbleed. OpenSSL — это уровень программного обеспечения, которое обрабатывает шифрование на сервере для безопасных транзакций данных. Heartbleed не заботило, какую систему управления контентом (CMS) вы использовали, потому что OpenSSL работает на более низком уровне совместно с программным обеспечением веб-сервера. Это была простая ошибка, внесенная очень квалифицированным программистом, и такую ошибку мог совершить любой.
Что сделало эту ошибку настолько примечательной, так это то, что были затронуты более двух третей всех безопасных веб-сайтов. Несмотря на более чем 100 участников OpenSSL и более 21 000 различных дополнений кода, эта простая уязвимость не была обнаружена и исправлена в течение почти трех лет.
Два последних известных эксплойта, Spectre и Meltdown, использовали уязвимости, присущие большинству современных компьютерных процессоров. Они позволяют пользователям общих компьютеров (например, веб-серверов) просматривать виртуальную стену, отделяющую их среду от других сайтов, работающих на том же оборудовании.
Поскольку большинство веб-сайтов зависят от десятков различных приложений, миллионов строк кода и тысяч отдельных разработчиков (не считая кода самого вашего веб-сайта), мы можем предположить, что уязвимости есть в каждой операционной системе, веб-сервере, CMS.
Неправильная конфигурация
Самая распространенная причина взлома сайта — плохая начальная конфигурация. Многие администраторы веб-сайтов просто не очень опытны, и нужно очень много знать. Настройка пользователей как в операционной системе, так и в CMS, управление разрешениями этих пользователей, управление правилами брандмауэра, настройка веб-сервера — список можно продолжить. Но все эти факторы имеют решающее значение для безопасности.
Многие статьи и практические руководства охватывают только самый минимум, чтобы упростить работу для новых пользователей. Это может быть хорошо для отдельного человека или семейного бизнеса, но неприемлемо для крупной публичной корпорации. На этом уровне хаки — это не просто неудобство; они могут оказать серьезное влияние на бизнес.
Отсутствие технического обслуживания
Когда обнаруживаются уязвимости в коде, создаются исправления, и пользователям предоставляется время для обновления своих систем до того, как об уязвимости будет объявлено общественности. К сожалению, многие веб-сайты не обновляются регулярно. Возвращаясь к нашему примеру с Heartbleed, более чем через три года после выпуска патча более 200 000 веб-серверов по-прежнему работали со старой, уязвимой версией OpenSSL.
Современные системы управления контентом имеют множество слоев приложений. Типичная установка WordPress будет иметь операционную систему Linux, программное обеспечение веб-сервера, PHP, MySQL и любое количество плагинов. За всеми этими вещами нужно постоянно следить и поддерживать. Это факт, за которым многие поставщики услуг просто не успевают.
Люди как люди
Уязвимости кода и отсутствие обслуживания могут показаться пугающими, но они могут меркнуть по сравнению с рисками, связанными с тем, что люди могут использовать вашу CMS. Мы
Все хотят быть полезными и казаться умными, что делает нас по своей природе восприимчивыми к социальной инженерии. Определенные запросы должны вызывать тревожные звоночки, например:
- «Привет, это Боб из отдела ИТ. Мы фиксируем аномальный трафик, исходящий от вашей машины…»
- "Я собираюсь послать вам диагностические инструменты и..."
- «Вы один из наших опытных пользователей, так что не могли бы вы мне помочь…»
К сожалению, эти методы часто работают на уязвимых людях.
Еще одна распространенная ошибка — это неверные методы работы с паролями. Взгляните на этот список общих паролей. Что-нибудь выглядит знакомым? Что-то из этого похоже на корень вашего пароля или использует подобную технику?
Если это так, ваше решение не является уникальным или умным, и вы должны сменить свои пароли прямо сейчас! Атака грубой силы начнется с такого списка, внесет варианты и, возможно, найдет ваш пароль за считанные минуты.
Рядом с бедным
Как обеспечить безопасность вашего сайта
Тот, кто говорит «Нас не взломают», искушает судьбу, но можно значительно минимизировать риски. Вот некоторые основные меры безопасности и процессы, которые вы можете внедрить для защиты сайтов от злоумышленников.
Хорошие привычки безопасности
Есть несколько простых вещей, которые ваши пользователи могут сделать, чтобы значительно снизить риск компрометации их учетных данных:
- Используйте «фразовые» пароли. По данным Национального института стандартов и технологий,
парольные фразы более запоминающиеся и безопасные. Требования к паролю со специальными символами и цифрами не так эффективны. - Используйте менеджер паролей. Менеджер паролей поможет вам использовать уникальные пароли на каждом сайте. Вы также можете установить и применять свои собственные правила использования паролей.
- Научите искусству социальной инженерии. Дайте пользователям знания, чтобы распознать его, когда это происходит, и уверенность, чтобы закрыть его до того, как он сработает.
Регулярное техническое обслуживание
Всегда обновляйте программное обеспечение с помощью исправлений безопасности и новых выпусков. Если вы не несете ответственности за обслуживание своего веб-сервера, обратитесь ко всем вашим поставщикам услуг за подробной информацией об их процессах, которые гарантируют, что ваш технологический стек использует последние критические исправления.
Сюда входят операционные системы, веб-сервисы,
Надлежащие методы обслуживания распространяются на аппаратное обеспечение за пределами вашего Интернета.
Помните, каждый раз, когда обнаруживается новый эксплойт, вы невольно оказываетесь в гонке с плохими парнями. Вы должны поставить патчи на место, прежде чем они найдут вас. Есть много действий, которые нужно предпринять, и элементов для мониторинга, поэтому обслуживание веб-серверов — это работа на полный рабочий день.
Обновляйте список авторизованных пользователей и всегда удаляйте тех, кто покинул вашу организацию. Согласуйте план действий при увольнении, потому что недовольные работники могут быстро навредить.
Устранение векторов атаки
Каждый уровень, добавляющий код и усложняющий ваш веб-сайт, также создает потенциальные уязвимости, поэтому ваш технологический стек должен быть как можно более компактным и простым. Удалите все приложения и службы, которые не нужны. Запускайте только те службы, которые необходимы для работы вашего веб-сайта и CMS.
Разрешите только входящий трафик на ваш веб-сервер на тех портах, которые необходимы для вашего веб-сайта, CMS или других необходимых служб. Нет смысла выставлять услуги, которыми вы не пользуетесь.
Ограничьте доступ к вашей CMS для пользователей вашей сети или VPN. Это может повлиять на ваших администраторов контента, поэтому внимательно рассмотрите этот компромисс.
Продолжайте чередовать резервные копии
Ссылаясь на более ранний пункт, самое безопасное мышление — это предположить, что вас взломают. Это подчеркивает ценность сохранения хороших резервных копий. Тщательный план резервного копирования может включать в себя создание шести чередующихся ежедневных резервных копий, четырехнедельных, шестимесячных и ежегодных резервных копий.
Поскольку взломы не всегда обнаруживаются сразу, вы никогда не знаете, как далеко вам может понадобиться вернуться. Однократное ежедневное резервное копирование рискованно.
Также обратите внимание, что простой настройки плана резервного копирования недостаточно. Вы должны регулярно проверять, что все резервные копии работают и что вы можете своевременно восстановиться из любой из этих резервных копий. Представьте, что вы обнаружите, что ваши резервные копии не работают, только после того, как вас взломали… Это не тот сценарий, в котором люди хотят оказаться.
Так что насчет СЭМ?
Есть некоторые уникальные свойства SAM, из-за которых взломать сайты, созданные с помощью этого инструмента, сложнее, чем сайты, созданные с помощью других систем управления контентом.
SAM — это единственное приложение, которое нужно обновлять, поскольку оно не имеет подключаемых модулей и требует только базовых служб, которые являются основными компонентами операционной системы Windows Server. Если вы полагаетесь на автоматические обновления Microsoft, ваш сервер всегда будет исправлен.
Еще более примечательно то, что SAM — это генератор статических сайтов. Большинство систем управления контентом генерируют страницы по требованию, когда их запрашивает пользователь, но генератор статических сайтов работает, генерируя страницы и публикуя их в файловой системе всякий раз, когда происходит изменение контента.
CMS не требуется, чтобы пользователи могли просматривать веб-сайт в реальном времени, а SAM может быть скрыт внутри вашей сети. Другими словами, общедоступной CMS, которую можно было бы взломать, не существует! Большинство наших клиентов никогда не замечают этого различия, но это качество действительно выделяет SAM из толпы.
Ссылки и ресурсы
- Отчет о тенденциях взлома веб-сайтов
- NoHacked: итоги года
- Безопасность веб-сайтов: как взламывают веб-сайты?
- Как они взламывают ваш сайт: обзор распространенных методов
- Обзор веб-серверов, ноябрь 2017 г.
- Ошибка Heartbleed
- Расплав и Призрак
- Рекомендации NIST по цифровой идентификации
- Худшие пароли 2016 года