Статьи о создании и продвижении сайтов, заработке в сети и софте

Достоинства и недостатки CMS Drupal. Часть III - защищенность Друпала от взломов

Достоинства и недостатки друпала. Часть третья

Это третья часть нашей трилогии под названием «Достоинства и недостатки CMS Drupal».

В первой части мы рассмотрели, откуда появился этот движок, кто его разработал, и как широко распространен Друпал во всем мире. Там же были раскрыты некоторые сильные стороны.

А во второй части  мы уже конкретно, по пунктам рассмотрели сильные и слабые стороны Друпала.

Данная статья же посвящена вопросам безопасности сайта, вы сможете узнать, как максимально защитить ваш сайт от взломов, познакомитесь с правилами обеспечения сохранности и безопасности вашего сайта, и с моей историей о том, как взломали мой сайт, и что с ним потом стало.

И так, теперь посчитаем, с какой стороны нашим сайтам на Друпале грозят неприятности, и как этих неприятностей избежать:

1. CMS Drupal, да и любой другой, разработан людьми, а значит по любому будут ошибки, совершенные разработчиком. И рано или поздно злоумышленники найдут эти ошибки и воспользуются своей находкой.

По интернету рыскает огромное количество различных ботов-взломщиков, или просто спам-ботов. Особенно опасны взломщики, которые только что узнали уязвимость какого-то движка, и хозяева сайтов, работающих на этом движке, еще не исправили эти уязвимости. Таких сайтов не то что люди, даже боты раскрывают на раз-два, и делают с сайтом все, что захотят.

Для того, чтобы избежать такого рода неприятностей, надо все время быть в курсе насчет новостей движка, и как только выходят новые обновления, следует скорее обновить движок сайта.

В Друпале уведомления об обновлениях выводятся прямо на панели администратора, при условии, если включен модуль «Update manager». Это кстати, является еще одним достоинством Друпала, ведь, насколько я знаю, этот механизм присутствует не во всех ведущих CMS.

2. Раз уж мы говорим о Друпале, то, относительно этого CMS правило «обновлять как можно быстрее» так же действует и для всех установленных   модулей. Модули ядра обновляются вместе с движком, но установленных вами модулей надо будет обновить отдельно. Так же, как только появляется обновление для какого то модуля на админ панели увидете уведомление с просьбой обновить модуль.

Вот эти два пункта являются самыми важными условиями, соблюдать которых надо, если вы заинтересованы сохранить в целостности ваш сайт.

3. Правильная настройка CMS Drupal. Хотя, думаю, вот и этот пункт не менее важен, чем предыдущие две.  Как знаем, после установки нам особо настраивать то не надо. CMS Drupal являестя одним из самых легко настраиваемых CMS, это так же одна из его сильных сторон, которой не все движки могут похвастаться.

Все же надо быть предельно внимательным при настройки прав пользователей. Для обычных пользователей настройка «Full HTML», а уж тем более «PHP filter» должны быть отключены! Так же и для остальных ролей, например созданных вами ролей «модератор», «журналист» и других, включать «Full HTML» не желательно. Не потому, что модераторы, или ваши штатные журналисты могут быть ненадежными, а дело в другом, и об этом следующий, четвертый пункт.

4. По словам некоторых профи, на данный момент до 95 % взломов сайтов производятся с невольной помощью самих администраторов сайтов, и с невольной помощью других пользователей, роли которых наделены широкими полномочиями.

Дело в том, очень часто на компьютер владельца сайта попадают различные трояны и\или кейлоггеры. Они то и воруют пароли от аккаунта, передают куда надо, и оттуда уже или сам взломщик, или  запущенный им бот заходит и захватывает данный сайт.

Чтобы избежать этого, надо установить хороший антивирус, антишпион и еще можно файрвол, и периодически сканировать компьютер. И не надо лазить по всяким подозрительным сайтам,  так же надо постараться избежать установки различных взломанных программ.

Так же эти трояны легко воруют пароли и логины из некоторых программ -  фтп-менеджеров. Например, из Тотал-Командер. В любом случае, не рекомендуется сохранить пароль-логин от сайта в этих программах, рекомендуется каждый раз удалять историю подключений.

Если у вас несколько сайтов, и они приносят хороший прибыль, то неплохая идея - держать отдельный ноутбук, или даже дешевый нетбук для работы только с сайтами.

Чуть ранее я говорил, что так же не рекомендуется дать расширенные полномочия другим ролям. Теперь поясняю, зачем. Даже если владелец сайта держит свой комп в чистоте, то нет гарантии, что и другие пользователи сайта держат свои компьютеры в чистоте. Поэтому и через их  аккаунты взломщики так же могут увести ваш сайт.

Еще, есть такая фишка, злоумышленникам достаточно написать вредоносный код на какой-нибудь странице, пусть даже у них не будут права на исполнение этого кода. Им лишь бы иметь возможность сохранить этот код и далее ждать, когда админ зайдет на эту страницу. И как только он зайдет, код исполнится от имени администратора.  

Если хотите об этом знать больше, то есть специальная литература, где написано, как обезопасить себя с этой стороны.

Однако такого рода уязвимости давно известны разработчикам CMS, и они в первую очередь заботятся, чтобы не было таких дыр. Разработчики CMS Drupal и разработчики других ведущих CMS уж точно заботятся.

Было бы не правильно умольчать еще об одной угрозе такого рода. Дело в том, владелец сайта или вебмастер сам даже не зная, может своими руками установить вредоносный код на сайт. Это может случиться, например, в таком случае, если вы устанавливаете какой то баннер с ява-скриптом, или счетчик от какого-нибудь малоизвестного каталога сайтов, требующего установить обратную ссылку на вашем сайте.

Как взломали данный сайт abode-web.ru.

В начале ноября 2012 года я и сам стал жертвой взломщиков. Оказалось, что модуль FCKEditor имел уязвимость, и через него всякие боты загрузили различные скрипты в корневую и другие папки.

Эти скрипты производили различные действия, но особенно вредил файл forwarding.htm, который распространял спам. За это хостер заблокировал мой аккаунт, и я потерял  доступ к сайту.

Буквально за несколько часов до этого я скачал себе на компьютер архив бекапа, и сканировал его с помощью антивирусного сканера, там вирусов было немерено, как  муравьи в муравейнике.

Естественно, когда хостер закрыл доступ к панелю управления сайтом, а служба поддержки перестала отвечать на мои письма, мне пришлось найти другого хостера, домен перенести сюда, а сайт создать с нуля. Благо, у меня не было времени на этот проект, и здесь было мало статей, и исчезло тоже немного, почти всех статей я скачал из кэша Яндекса и Гугла.

Вот вам пожалуйста результаты не своевременного обновления модуля.

ВЫВОДЫ

Я бы хотел, чтобы вы поняли следующее.

Желающих взломать плохо защищенных сайтов очень много. Ведь взломщики используют этих взломанных сайтов для своих целей: делают дорвеи, распространяют спам от вашего имени, воруют конфиденциальные данные зарегистрированных пользователей и т.д.

А жертва потеряет данные с этого сайта, уж эти взломы никак ему пользу не приносят, одни убытки.

Поэтому, простое соблюдение этих правил позволит вам многократно увеличить защищенность вашего сайта, и ваш сайт принесет вам много пользы и удовольствия, будет служить долго.

Комментарии

Аватар пользователя Dongjin

Home run! Great slugging with that aswner!

Добавить комментарий