Безопасный движок. Всё в твоих руках

website-security

Всем привет. Сегодня разговор пойдёт об одной из важных характеристик движка (CMS) – безопасности. Какие бывают движки для сайта, чем они отличаются, можно посмотреть здесь. Безопасность ресурса хоть и не самая главная характеристика, но одна из важнейших. Не думаю, что кому-то будет приятно потерять доступ к своей визитке или блогу. А попасть в ЧС и быть заблокированным, как элемент вирусного бота? Согласитесь, приятного мало. Особенно, если у вас магазин или другая коммерция.

CMS — это программа, а значит имеет уязвимости

Разработчик может и не знать о наличии в его детище дыр и багов. Они проявляются в процессе обкатки большим числом пользователей. И вот тут, как и с любым ПО, чем больше распространён движок, тем больше вероятность попасть под атаку или получить вирус. Даже используя собственноручно написанный код, нельзя быть уверенным в стопроцентной безопасности сайта. А уж с широко растиражированными бесплатными движками сложнее. Чем больше сайтов работает на движке, тем выгоднее найти и использовать уязвимость его кода.

Не стоит думать, что это характерно только для сайтов. Такая же картина в любом виде программ. До недавнего времени под Макинтошем вирусы не появлялись. Но распространение Маков сделало своё чёрное дело. А линуксоидные системы и андроид? Пока они не получили распространения, о безопасности можно было не думать. С браузерами то же самое.

Естественно не нужно бросать идею создания своего ресурса. Проблема безопасности решаема. Нужно серьёзно к ней подойти. Для начала посмотрим, как обстоят дела с безопасностью у сайтов на разных движках.

Последнее серьёзное исследование на эту тему было проведено в 2014 году совместно Ruward и SiteSecure. Они случайно выбрали 30 тысяч ресурсов из домена .RU. Ресурсы изучались на предмет наличия вирусов, есть ли сайт в ЧС у поисковиков. Определялись: версия движка и сервера. Все данные рассматривались на отношение версии движка и наличием проблем у сайта.

Поиск в сети не дал новых глобальных результатов, попадались только разрозненные данные. Попытка хоть как-то их свести в одну кучу, показала, что кардинально ситуация с безопасностью ресурсов не изменилась. Поэтому в разговоре будем опираться на данные проведённого исследования.

Зависимость безопасности движка от его лицензии

Результаты показывают, что сайты на бесплатных CMS в 4 раза чаще заражены или находятся в ЧС. Одними из причин таких показателей являются массовое распространение бесплатных решений и создание дополнений не ограниченным кругом разработчиков. О другой, не менее важной причине, чуть позже.

Рис. Процент зараженных ресурсов

зараженные ресурсы

У бесплатных решений есть лидеры. Например, зараженных сайтов на TYPO3 найти не удалось. DataLife отнесли к бесплатной группе потому, что практически все исследуемые ресурсы работали на зануленных версиях. Как видно из диаграммы они то и самые небезопасные. Вот вам ещё одна причина:

Зануленные версии, как правило, не обновляются

Все обнаруженные уязвимости устраняются только у клиентов, заплативших за лицензию. Серьёзный повод не использовать в своих проектах взломанное ПО.

Разработчики TYPO3 уделяют много внимания безопасности своей разработки, да и популярность этого движка ниже, чем у WP или Joomla.

Среди платных CMS лидера не нашлось. Результаты показывают одинаковое число заражённых сайтов у всех подопытных. Подход к безопасности у всех платных решений практически одинаков. Различаются только принимаемые меры. У кого-то качественная и быстрая поддержка, но задерживаются обновления. У других слабовато и то, и другое. Немаловажно и то что искать баги в коде, за которым следит команда разработчиков, намного сложнее.

Использование обновлений

Теперь подходим к другой причине частых заражений. Выше был пример с DL и её зануленными версиями. Своевременное обновление априори нужно любому движку. Задумайтесь, ведь зачем-то эти обновления выпускают? В большинстве случае в обновлениях исправляются ошибки, закрываются дыры, улучшается совместимость с другим ПО. Результаты исследования показывают прямую связь между версиями CMS и количеством заражённых ресурсов.

Рис. Зависимость от версии

zavisimost-ot-versii

Это касается как бесплатных движков, так и коммерческих. Сайты, которые обновлялись непосредственно с выходом новых релизов, заплаток, имеют меньшую вероятность попасть в ЧС или заразиться.

Хорошо прослеживается эта взаимосвязь у двух бесплатников: Joomla и WP. Последний релиз Joomla был у 3 % ресурсов, на WordPress вовремя обновились только 15 % сайтов. Количество проблемных ресурсов на Joomla в три раза больше, чем на WP.

Вслед за авторами исследования можно предположить, что платные сайты обновляются чаще по нескольким причинам:

  • постоянно работающая команда профессионалов вовремя выпускает обновления;
  • заплатив деньги, клиент считает необходимым скачивать и ставить всё, что дают.

Возможно есть и третья причина – большинство владельцев ресурсов либо считают обновления не нужными, либо ничего не знают про безопасность. Скорее всего оказывают влияние все три причины.

Влияние сервера

Идёт много разговоров о том, что главное правильно разместить ресурс. Какие-то сервера считают лучше других. По цифрам видно, что проблемные ресурсы распределились практически по рейтингу популярности серверов.

Рис. Зависимость от сервера.

влияние сервера

Вероятность того, что сервер, на котором размещается сайт, не играет решающей роли для безопасности практически 100 %.

Черные списки

Сомневаюсь, что многие знают – Яндекс заносит в ЧС чаще, чем Google, примерно в два раза. Кроме этого, совпадают списки поисковиков процентов на десять, не больше.

Рис. ЧС

ЧС

По этим данным можно сказать только одно – чаще смотрим черные списки. Узнать новость о попадании в ЧС лучше раньше, чтобы последствия были меньше. Хотя лучше туда не попадать. Если учитывать, что в списках проблемные сайты, с точки зрения поисков, то всё в наших руках.

Известно ли владельцам ресурсов о проблемах?

Глядя на цифры на диаграмме ниже, понимаешь – вот ещё одна проблема. И, пожалуй, она страшнее остальных.

Рис. Знание проблем

незнание проблем

Как пишут исследователи, они попытались выяснить ситуацию у владельцев зараженных ресурсов. Ничего не знали о своих проблемах больше половины из них. Не слабая статистика. Но настораживает последняя цифра – 14 %. Столько людей предприняли определённые шаги для решения проблем с безопасностью. Только 14 %. Как говорится – No comment.

И про коммерсов…

Отдельной темой в исследовании прошли коммерческие ресурсы. Тридцать тысяч сайтов были проверены на ЧС по спаму. Можно представить, что подумали авторы исследования, получив результаты. 15 % ресурсов обнаружены в списках Uce Protect, они являются источниками спама. Из них почти 70 % находятся в одной подсети, 30 % на одном IP с источниками спам-рассылок.

Суть проблемы в конечном эффекте – безуспешная попытка отправить почту клиентам. Для этих 15 процентов такая ситуация грозит прямыми финансовыми потерями. Сложно сказать за какой отрезок времени, но если ничего не будет предпринято, то потери будут. Остальные результаты показали проблемы у каждого седьмого сайта на коммерческом движке.

Попытка осмыслить…

Видя только конечные результаты тестов, сложно говорить о деталях. Но, судя по всему, владельцы сайтов не озабочены проблемами безопасности либо считают, что это должно заботить разработчиков движков и админов.

Первое, что хочется сказать: безопасность важнейшая составляющая нормальной работы ресурса. Особенно, если с него вы получаете деньги.

Второе, нужно самостоятельно заниматься этим вопросом или нанимать для этого профессионалов.

Ну и третье, решать конечно вам, но мне было бы обидно бросить раскрученный ресурс из-за собственного головотяпства.

На этом всё. Если тема интересна оставляйте свои комментарии. Заинтересовавшимся самостоятельным продвижением сайт, советую посмотреть здесь.

Всем пока! Удачи в продвижении.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *