Почему взламывают даже защищенные CMS на безопасном хостинге

// BITRIX 2016

Григорий Земсков, компания «Ревизиум»

Чтобы защитить сайт от взлома, нужно знать, как

сайт могут взломать

Заблуждение про взлом—Веб-атаки - как единственный вариант взлома сайтов

—Защищенная CMS на безопасном хостинге гарантирует безопасность сайта

—Технических мер достаточно

Варианты взлома сайтов

Варианты взлома сайтов

Атаки и взлом через веб— эксплуатация уязвимостей:

— в скриптах CMS

— плагинах и модулях

— доработках

— брутфорс админ-панелей сайтов

— DOS/DDOS атаки

Защита от веб-атак— обновление CMS и плагинов

— минимизация плагинов

— доработки опытными разработчиками

— проксирование трафика, WAF

— антибрутфорс плагины и сервисы (fail2ban, Login LockDown)

— антиDDOS на хостинге

Если CMS неуязвима?— взломают сайт через соседний по аккаунту

— перехватят доступы через WI-FI в кафе, украдет троян на компьютере, уведут через «фишинг» или взломанный email

— «сбрутят» пароль от FTP/SSH

— внедрят вирусный код через phpmyadmin в базу данных

— сам веб-мастер установит зараженный компонент

— «рутанут» сервер VPS/хостинга

Найти пароль в Google

Взлом не через веб— перехват (кража) доступов

— брутфорс атака на FTP/SSH/панель хостинга

— взлом сайта через соседние сайты на аккаунте

— компрометация сервера хостинга

Защита от взлома— грамотный выбор хостера

— изолированное размещение сайтов

— ограничение по IP, двухфакторная аутентификация

— регулярная смена паролей

— работа по безопасному каналу (VPN)

— нет FTP, да - SFTP или хотя бы FTPS

— минимизация доступных функций в панели

Когда виноват подрядчик— недобросовестный подрядчик (веб-мастер, программист, контент-менеджер) оставляет «закладки»

— подрядчик устанавливает зараженные компоненты (nulled, не покупает)

— утечка доступов к хостингу/сайту у подрядчиков

— социальная инженерия / фишинг

Безопасная работа с подрядчиками

— управлять доступами (сразу менять после завершения работ, предоставлять минимальные привилегии на минимальный срок)

— аудит после проведения работ

— инструктаж подрядчиков

— работа по договору

Общие рекомендации— выработать политику безопасности

— технические меры защиты

— организационные меры защиты

— информирование подрядчиков/персонал, контроль за исполнением

— уязвимостью часто бывает сам человек

— безопасность - это процесс

— только комплексный подход гарантирует безопасность

Спасибо! Вопросы?

Григорий Земсков

Компания «Ревизиум»

ai@revisium.com