CMS и безопасность

Введение

WordPress, Joomla, Drupal, Shopify и многие другие предлагают реальные возможности для создания эргономичных и эффективных сайтов. Тем не менее, негативный имидж по-прежнему ассоциируется с сайтами CMS: они будут небезопасными и легкими целями для вредоносных хакеров.

Каковы риски кибератак на эти сайты? Какие конкретные элементы CMS подлежат мониторингу?

Разработки «с нуля» или CMS

Вопреки распространенному мнению, сайты CMS так же безопасны, как и сайты, разработанные по требованиям. Если вы используете CMS, которая хорошо известна и широко используется во всем мире, вы используете надежное решение, которое регулярно развивается. Это не обязательно относится к пользовательскому веб-сайту, разработанному агентством или фрилансером, когда обслуживание не предусмотрено.

Самые популярные системы управления контентом:

• WordPress
• Shopify
• Joomla
• Drupal,
• Wix.

Тем не менее, CMS представляют риск для более серьезных атак. Действительно, они являются целью для хакеров, стремящихся использовать уязвимости. На пять основных CMS приходится 46,8% всех веб-сайтов: поэтому злоумышленники чаще сталкиваются с уязвимыми сайтами.

Риски разработки программного обеспечения

Типология пользователей платформы CMS также шире, чем для сайтов, разработанных по запросу. Это означает, что есть пользователи, менее знакомые с передовыми методами обеспечения безопасности, что увеличивает вероятность успешных атак на CMS.

Риски CMS с открытым исходным кодом

С точки зрения безопасности основные CMS с открытым исходным кодом имеют преимущество: исследователи безопасности имеют к нему доступ и тестируют его, что позволяет выявлять бреши в безопасности. Обратная сторона медали заключается в том, что злоумышленники также имеют к нему доступ, что также может позволить им находить уязвимости и использовать их.

Большое сообщество вокруг основной CMS разработало множество плагинов, которые добавляют функциональные возможности, но также добавляют риски, связанные с интеграцией, настройкой и обслуживанием этих плагинов.

Безопасность CMS и плагинов зависит от сообщества, которое для основной CMS, как правило, очень активно. Тем не менее, необходимо проявлять бдительность в отношении обслуживания CMS. Всегда существует риск того, что решение может быть менее популярным, менее поддерживаемым или даже заброшенным в какой-то момент.

Риски собственной CMS

Как и в случае с любым собственным продуктом, безопасность будет зависеть от важности, придаваемой ему компанией, и от знаний в области безопасности команды разработчиков.

Преимущество собственной CMS в том, что за ее разработку и безопасность отвечает непосредственно команда. Поэтому вполне вероятно, что будет план запланированных обновлений, функций, которые необходимо протестировать, элементов, которые необходимо исправить, и т. д.

Тем не менее, следует помнить об одном моменте бдительности: возможно, что продукт может быть заброшен редактором в какой-то момент, и что больше не будет проводиться какое-либо техническое обслуживание.

Будь-то CMS с открытым исходным кодом или собственная, ваш выбор должен быть сделан в соответствии с потребностями вашей ситуации.

Безопасность вашего сайта зависит прежде всего от того, как он управляется, настраивается и поддерживается, а не от того, основан ли он на CMS с открытым исходным кодом или нет.

Риски, связанные с обновлениями CMS

Одним из основных рисков, связанных с CMS, являются обновления. Обновления должны производиться регулярно, так как CMS быстро развивается.
Кроме того, регулярно обнаруживаются и затем исправляются новые уязвимости. Поэтому необходимо как можно быстрее устанавливать обновления и часто проверять доступные патчи.

Обновления касаются не только версий самой CMS, но и версий различных используемых плагинов. Для основной CMS с открытым исходным кодом доступно большое количество плагинов.

Есть два основных принципа, которые следует учитывать при выборе плагинов:

• Отдавайте предпочтение плагинам, которые постоянно обновляются (чтобы не подвергать себя риску в случае обнаружения новых уязвимостей в неподдерживаемом плагине).
• Отдавайте предпочтение признанным и широко используемым плагинам, а не «внутренним» плагинам, разработанным для конкретных потребностей, которые не являются вашими.

Рекомендуется внимательно следить за развитием каждого плагина, используемого для вашего сайта.

Риски, связанные с индивидуальными разработками на CMS

Другой серьезный риск, связанный с CMS, связан с конкретными разработками. Многие веб-сайты на основе CMS зависят не только от конфигурации, но и от индивидуальных разработок, выполняемых либо собственной командой разработчиков, либо поставщиком услуг.

Процесс управления рисками

Если ваш сайт включает в себя специфические разработки, то они представляют те же риски, что и для сайта, разработанного «с нуля». Вопросы, которые нужно задать, аналогичны:

• Каковы навыки разработчиков в вопросах безопасности?
• Проводили ли мы тесты на проникновение?
• Как мы можем исправить потенциальные недостатки в нашем коде, чтобы предотвратить инциденты?

Риски, с которыми сталкивается ваш веб-сайт, различаются в зависимости от его размера и функций: кража данных, особенно для сайтов, позволяющих создавать учетные записи клиентов, а также перебои в обслуживании или размещение незаконного контента…

Лучшее решение тогда состоит в выявлении недостатков безопасности и их исправлении путем проведения веб-пентеста, который сначала может сосредоточиться только на основных рисках.

В заключение, сайты, созданные на основе CMS, безопасны, но требуют внимания с учетом определенных особенностей для обеспечения их безопасности.

Крайне важно внедрить соответствующую стратегию для обновления, хостинга, резервного копирования и мониторинга своего веб-сайта. Конфигурация CMS и конкретные разработки могут быть рассмотрены специализированным консультантом по безопасности CMS.

Более подробно об информационной безопасности сайта читайте в нашей следующей статье.