CMS-уязвимости существуют давно. Они в основном появляются из-за недостатков в дизайне приложений и неправильно настроенных серверов. Эти уязвимости могут быть легкими мишенями для хакеров, которые пытаются воспользоваться дырами в безопасности.
Исследования показали, что в 2018 общее число новых уязвимостей выросло на 23% по сравнению с 2017.
Мы перевели для вас обзор уязвимостей CMS сайта — в нем рассмотрим самые популярные из них и чего стоит остерегаться компаниям.что нужно делать бизнесу, чтобы обезопасить себя.
Из статьи вы узнаете:
Самая популярная уязвимость — инъекции
С 2017 года эта уязвимость стала популярнее на 267%. Это инъекции SQL, кода и объектов.
Баги в межсайтовых сценариях тоже стали более распространенными в 2018 году. Это вторая наиболее популярная уязвимость.
Атакующие делают WordPress своей мишенью
WordPress, самая популярная CMS, используется на 28% сайтов. Но несмотря на медленное развитие новых плагинов, количество уязвимостей в WordPress выросло на 30% по сравнению с 2017. Популярность этой CMS мотивировала все больше хакеров разрабатывать инструменты для атаки и искать дырки в ее коде.
Почти все уязвимости WordPress относятся к плагинам, которые расширяют функционал сайта или блога. Любой может создать плагин и опубликовать его, так как WordPress — CMS с открытым кодом. Нет никакой процедуры, которая бы проверяла плагины на соответствие минимальным стандартам безопасности.
В топ-10 плагинов WordPress с наибольшим количеством уязвимостей в 2018 году — Ultimate Member, Event Calendar, Coming Soon Page и GD Rating System.
Год Drupal
Несмотря на то, что Drupal — третья по популярности CMS, ее уязвимости Drupalgeddon2 и Drupalgeddon3 были основной причиной дыр безопасности в сотнях тысячах серверов в 2018. Из-за уязвимостей неизвестный хакер смог удаленно сделать инъекцию зловредного кода и запустить ее на дефолтных или популярных установках Drupal.
Уязвимости, на которые стоит обратить внимание в 2019 году
Заявление компании-разработчика PHP, что версии 5.5, 5.6 и 7.0 устарели, повлияют на индустрию. Для них больше не будут выпускаться обновления безопасности. Крупные CMS, такие как WordPress, Drupal, и Joomla!, разрабатываются на PHP и требуют новых версий. Но они пока еще поддерживают старые версии. Поэтому хакеры заинтересованы в том, чтобы найти новые уязвимости в неподдерживаемых версиях PHP, так как чинить их не будут. Это повлияет на любое приложение, созданное с помощью устаревших версий.
Кроме этого, уязвимости инъекций скорее всего тоже участятся. Инъекции становятся популярными, так как на них очень просто заработать деньги.
Положительные моменты
Однако есть и положительный момент среди уязвимостей. Их количество в интернете вещей снизилось, равно, как и количество уязвимостей, относящихся к слабой аутентификации.
Несмотря на то, что все больше людей ежедневно используют электронные устройства, в этой сфере происходят перемены. Это, возможно, потому что провайдеры интернета вещей начинают внедрять большую безопасность в устройствах. В то же время, рост уязвимостей API и рост количества уязвимостей PHP несколько замедлился.
Долгосрочный план: защита ваших приложений и данных
Если обобщить, вывод из исследования такой: нужно еще более тщательно защищать движки.
Лучший способ это сделать — запустить фаервол для веб-приложений — локально, в облаке, или в комбинации этих двух способов.
Источник: статья в isBuzznews