|
Вся правда о безопасности ваших CMS-систем
|
|
24.01.2014, 18:08
|
|
#1
|
Регистрация: 23.01.2014
Сообщений: 55
|
Вся правда о безопасности ваших CMS-систем
|
Сервис SiteSecure и проект Ruward на начало 2014 года проделали титанический анализ по комплексному исследованию безопасности сайтов, собранных на различных CMS-системах.
Результаты этого исследования я предоставляю на ваш третейский суд.
Про существование малваре, спиваре, вирусов и червей знает каждый веб-мастер не понаслышке, так как любой кто имеет сайт хоть раз, но сталкивался с вирусной угрозой на сайте.
По мнению специалистов в сфере информационной безопасности на данный момент в Рунете наблюдается плачевная ситуация, с точки зрения мониторинга, своевременного выявления и устранения вирусных угроз. Это в свою очередь прямо сказывается на кошельках владельцев сайтов.
Многие владельцы сайтов, относятся легкомысленно к безопасности, прям как – пока гром не грянет, мужик не перекрестится и вот от этого многие проблемы. Подчас простое заражение веб-сайта на практике оборачивается крупными проблемами для Интернет бизнеса: это выпадение домена из индекса поисковых систем, занесением опять же домена в спам или блек-листы, штрафными санкциями к сайтам со стороны хостинговых компаний, не говоря уже о запущенных случаях, которые могут доходить до судебных исков как со стороны клиентов так и со стороны партнеров. А последствия от всего этого просто-напросто необратимы.
Для мониторинга выбрали рандомно 30 000 подопытных сайтов в домене RU, созданных на различных CMS. Период исследований длился с октября 2013 по январь 2014 года, все сайты сканировались штатными инструментами безопасности SiteSecure. Анализировались такие показатели:
Версия CMS и веб-сервера;
Наличие вирусов на сайте;
Наличие сайта в черных списках Google и Yandex;
Наличие сайта в черных списках Phishtank, DNSRBL, UCE PROTECT и других;
Корреляция между версией CMS и наличием проблем на сайте.
Вот что в итоге получилось:
Уязвимость CMS-систем
Распределение уязвимых сайтов по типам веб-серверов
Осведомленность владельцев сайтов о наличии проблем на сайте
По результатам мониторинга безопасности сайтов, бесплатные CMS в среднем в четыре раза чаще подвержены кибер-атакам и чаще попадают в черные списки, чем сайты на коммерческих CMS.
|
|
|
25.01.2014, 05:01
|
|
#2
|
Регистрация: 26.07.2012
Сообщений: 305
|
Странно что таким мониторингом занимается не крупная консалтинговая компания, как Касперскийком, а какие-то ребята из SiteSecure и проект Ruward, о которых к примеру я до появления этой новости вообще ничего не слышал, у Касперского опыт, знания и стаж, а эти пришли чуток промониторили абы-как и на те анализ для общественности, какая у нас в стране разруха и нищета, мол в срочном порядке надо пересаживаться на платные КМС, иначе вообще худо будет. Взяли 30000 сайтов в зоне РУ и за 4 месяца хотят получить достоверные данные, абсурд - РУНЕТ не ограничивается, зоной РУ, там ещё РФ, Net, Com, org и т.д. С потолка отчёт и ни о чём
|
|
|
25.01.2014, 09:38
|
|
#3
|
Регистрация: 23.01.2014
Сообщений: 55
|
Если рассмотреть все последние громкие утечки конфиденциальной информации, то обычно взламывают крупные корпоративные сайты, где есть что взять и потерять соответственно, в рунете пока таких сайтов нетак и много в отличие от буржунета. Подчас многие веб-мастера используют нулленные версии движков, где умело скрыты левые ссылки или того хуже бекдоры – сами с парадного входа запускаем в хату воришек. Вот и тождество - скупой платит дважды, первый раз за взлом, второй раз за лицензию.
|
|
|
25.01.2014, 09:44
|
|
#4
|
Регистрация: 08.11.2013
Сообщений: 167
|
Решение проблем с безопасностью своими силами не решить – вот что я понял из всего прочитанного, парни этим анализом решили пропиарится в рунете и привлечь к себе внимание со стороны интернет общественности, одним словом маркетинговый ход для привлечения ручейков капиталов в свои глубокие карманы через свежеиспечённые интернет секьюрити агентства.
|
|
|
25.01.2014, 14:01
|
|
#5
|
Регистрация: 13.01.2014
Сообщений: 77
|
Это однобокий анализ. Доля правды есть, но ставить такой процент уязвимости на DLE это бред. Много чего зависит от версий ЦМС. И юзеры ставящие ЦМС регулярно проверяют обновления, и закрывают предыдущие дыры. А уязвимость самого движка мало зависит от того нуленный он или лицензионный. Разве что в нулевку вшивают бекдоры.
|
|
|
25.01.2014, 14:07
|
|
#6
|
Регистрация: 26.03.2012
Сообщений: 321
|
Это не Вся правда, а субъективное мнение. Слишком небольшой объем исследуемых сайтов для вынесения объективного решения. Хорошо когда защита админок и других важных, уязвимых разделов закрыта htaccess. Ну и большая часть взломов не через саму цмс а дроп паролей, включение safe mode на сервере и т.д.
|
|
|
25.01.2014, 18:30
|
|
#7
|
Регистрация: 21.12.2013
Сообщений: 97
|
Тут можно посоветовать:
1. Пользоваться последними версиями CMS, которые более безопасны чем предыдущие, поэтому всегда надо обновлять свои движки до самой свежей версии.
2. Коммерческие CMS безопаснее бесплатных – это миф, из-за того что они мало распространены то их меньше и ломают, так как им уделяется меньше внимания со стороны киберандеграунда то такой и маленький процент их взлома.
3. Никогда не ищите на фрилансе профессиональных Айтишников – они там никогда не сидели и не будут сидеть, т.к. на их услуги спрос есть всегда все 24 часа в сутки и каждый день недели. Все кто там предлагает услуги это либо хакеры, либо студенты айтишники, но не более.
|
|
|
25.01.2014, 19:02
|
|
#8
|
Регистрация: 04.11.2013
Сообщений: 152
|
Сообщение от ZUBASTiK
на фрилансе профессиональных Айтишников
| Это надо же до такого додуматься, лучше пойду в солидную контору или на худой конец сам как-то разрулю с этими вирусами, чем лечение доверять кому-то со стороны без весомых рекомендаций и авторитета - да ещё иной раз бэкап отлично помогает, откатил до появления подозрительной активности и ладушки
|
|
|
26.01.2014, 08:07
|
|
#10
|
Регистрация: 06.01.2014
Сообщений: 40
|
кстати во второй теме был интересный момент упомянутый Стоматологом, но он так фишку и не спалил по безопасности - наверно тема только для привата, а не для общественности, ведь если о ней узнают к примеру не те кто надо, то они в ответ найдут новый метод обхода этой защиты
Сообщение от stomatolog
Свой козырный метод имеется, но хотелось бы предварительно мнения других участников выслушать.
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0, гостей: 1)
|
|
|