Почему взламывают даже защищенные cms на безопасном...
TRANSCRIPT
Почему взламывают даже защищенные CMS на безопасном хостинге
// BITRIX 2016
Григорий Земсков, компания «Ревизиум»
Чтобы защитить сайт от взлома, нужно знать, как
сайт могут взломать
Заблуждение про взлом—Веб-атаки - как единственный вариант взлома сайтов
—Защищенная CMS на безопасном хостинге гарантирует безопасность сайта
—Технических мер достаточно
Варианты взлома сайтов
Варианты взлома сайтов
Атаки и взлом через веб— эксплуатация уязвимостей:
— в скриптах CMS
— плагинах и модулях
— доработках
— брутфорс админ-панелей сайтов
— DOS/DDOS атаки
Защита от веб-атак— обновление CMS и плагинов
— минимизация плагинов
— доработки опытными разработчиками
— проксирование трафика, WAF
— антибрутфорс плагины и сервисы (fail2ban, Login LockDown)
— антиDDOS на хостинге
Если CMS неуязвима?— взломают сайт через соседний по аккаунту
— перехватят доступы через WI-FI в кафе, украдет троян на компьютере, уведут через «фишинг» или взломанный email
— «сбрутят» пароль от FTP/SSH
— внедрят вирусный код через phpmyadmin в базу данных
— сам веб-мастер установит зараженный компонент
— «рутанут» сервер VPS/хостинга
Найти пароль в Google
Взлом не через веб— перехват (кража) доступов
— брутфорс атака на FTP/SSH/панель хостинга
— взлом сайта через соседние сайты на аккаунте
— компрометация сервера хостинга
Защита от взлома— грамотный выбор хостера
— изолированное размещение сайтов
— ограничение по IP, двухфакторная аутентификация
— регулярная смена паролей
— работа по безопасному каналу (VPN)
— нет FTP, да - SFTP или хотя бы FTPS
— минимизация доступных функций в панели
Когда виноват подрядчик— недобросовестный подрядчик (веб-мастер, программист, контент-менеджер) оставляет «закладки»
— подрядчик устанавливает зараженные компоненты (nulled, не покупает)
— утечка доступов к хостингу/сайту у подрядчиков
— социальная инженерия / фишинг
Безопасная работа с подрядчиками
— управлять доступами (сразу менять после завершения работ, предоставлять минимальные привилегии на минимальный срок)
— аудит после проведения работ
— инструктаж подрядчиков
— работа по договору
Общие рекомендации— выработать политику безопасности
— технические меры защиты
— организационные меры защиты
— информирование подрядчиков/персонал, контроль за исполнением
— уязвимостью часто бывает сам человек
— безопасность - это процесс
— только комплексный подход гарантирует безопасность