Почему неуязвимые CMS и безопасный хостинг не исключают риск web-атак?

Проблема безопасности сайтов находится на пике актуальности. Увеличение количества взломов с целью получения выгоды – неутешительная статистика, которая стала данностью для современного Интернета. В настоящее время хакерским атакам подвергаются не только крупные web-проекты, но и ресурсы с небольшим трафиком.

Подавляющее большинство атак производят через эксплуатацию уязвимостей системы управления, о чем мы подробно говорили в предыдущих материалах. Но значит ли это, что использование хорошо защищенной CMS и размещение web-проекта на безопасном хостинге исключают риск хакерских атак? Нет, постороннее лицо может получить доступ к защищенной информации и другими путями, не эксплуатируя уязвимости на уровне движка.

Наиболее распространенной хакерской схемой является взлом через другие сайты пользователя, размещенные на том же аккаунте. Типичная ситуация: помимо основного сайта, работающего на хорошо защищенной CMS, на пользовательском аккаунте размещены другие неприоритетные проекты (тестируемые или временно замороженные ресурсы и т.д.) с уязвимыми версиями движка.

Такие «соседи» являются потенциальным источником проблем безопасности для всех проектов на аккаунте. Через их уязвимости мошенник может внедрить администратора сайта в БД, установить вредоносный скрипт, который будет использоваться для управления web-ресурсом, или получить полный контроль над аккаунтом хостинга.

Не менее распространенной халатностью является хранение на пользовательском хостинг-аккаунте альфа-версии сайта. О размещении тестовой разработки нередко просто забывают. Такая оплошность становится настоящим джек-потом для мошенника, поскольку обычно в тестируемых версиях остается открыт загрузчик файлов или незапароленная панель администрирования.

Еще одна схема взлома, на которую никак не влияет степень защищенности CMS – внедрение через средства администрирования БД. Наиболее распространенным инструментом в этом вопросе является PhpMyAdmin, его устанавливают на большинство хостингов и выделенных серверов под управлением популярных панелей.

Взлом phpMyAdmin обычно осуществляют через подбор логина и пароля. Поэтому крайне важно устанавливать сложные комбинации (да, которые каждый раз будет долго и неудобно вводить) и систематически менять их.

Следует помнить и то, что недоброжелатель может заполучить ваши пароли и логины не только методом брутфорса. Многие web-мастера и владельцы сайтов забывают обновлять phpMyAdmin до последней версии, что позволяет хакерам использовать внутренние уязвимости самого софта. Не менее халатной ошибкой является открытое хранение резервных копий (бэкапов) сайта, в которых опытный мошенник без труда отыщет прописанный логин и пароль, пройдя в админку, как к себе домой.