Безопасность WordPress и Joomla

Автор: Довбня Сергей Пятница, 14 декабря 2007 11:30

Множество Веб-мастеров для своих сайтов используют WordPress (лучший движек для автономных блогов) и Joomla (хороший движек для сайтов).

Я почему-то был уверен, что оба движка весьма безопасны, пока по securitylab.ru не побродил. Имеем:

40 уязвимостей разной степени тяжести у Joomla против 46 уязвимостей у wordpress. Естественно список постоянно обновляется, и дополняется новыми багами.

По сути если кто-то поставит себе цель взломать ваш сайт, то он его взломает. А если не выполнять элементарных правил безопасности, то сайт сможет взломать даже школьник.

В лучшем случае после взлома сделают дефейс. В более сложных случаях вставят загрузчик вируса в инфрейм, или пачку ссылок на доры. В любом случае вред от таких действий немаленький.

Может стоит перед новым годом провести ревизию сайтов и сателлитов? Скоро ведь зимние каникулы, а скачать и заюзать готовый эксплойт ничего не стоит даже школьнику. Просто у многих не по одному десятку сайтов, и за всеми сложно следить, но хотябы раз в несколько месяцев аудит стоит проводить.

Могу предложить план дейсвий, которым пользуюсь сам:

  • Сначала стоит сделать глобальный бекап, и отдельно бекап баз данных, для всех сайтов и аккаунтов (редко кто хранит все сайты у одного хостера).
  • Проверить наличие обновлений для используемых вами скриптов.
  • Скачать обновления для используемых вами движков и ознакомится с инструкциями. В некоторых случаях, если скрипты давно не обновлялись, придется делать обновления ступенчато, постепенно наращивая версии. В таком случае придется качать еще и предыдущие версии.
  • Выберите самый “кволый” и малопосещаемый сайт, оттестируйте корректность обновлений на нем. Если все обновилось без проблем – приступайте к обновлению остальных сайтов.
  • Множество уязвимостей, используют баги админки. Админку лучше всегда паролить средствами хостинга. Для WordPress это папка /wp-admin/, для Joomla папка /administrator/. Войдите в cPanel (или что там у вас), и установите пароли. Да, хлопотно по два раза вводить пароль, чтобы добавить материал на сайт, но уровень безопасности сильно возрастет.
  • Почистите хостинг от “мертвых” файлов и скриптов. Все что не используется или уже не поддерживается разработчиком должно умереть.

Мне конечно далеко до специалиста по безопасности, но даже эти элементарные правила использует далеко не каждый Веб-мастер.

Перед тем, как строить планы на новый год, лучше немного навести порядок в текущих делах. Успехов.



Сообщение опубликовано: Пятница, декабря 14, 2007 at 11:30 дп и размещено в рубриках: Блогосфера, Разное. Вы можите читать эту запись через RSS 2.0 канал, а также оставить комментарий, или трэкбек со своего сайта.

Написать комментарий