Для чего необходимо защищать панель администрирования сайта в различных CMS
Панель управления сайтом — это основной инструмент, при помощи которого, человек обладающий необходимым уровнем доступа может совершать различные операции связанные с управлением системы. Злоумышленник обладая данными для доступа в панель управления может получить доступ к файловой структуре, базам данных, бэкапам или использовать функции CMS в своих интересах. Получая доступы к управлению сайтом злоумышленник например, может полностью удалить содержимое сайта, использовать сайт как площадку для размещения собственных ссылок (дарк-seo) или использовать различные функции CMS в своих целях. Не нужно быть экспертом, чтобы понять, что для взломщика получение доступа к панели администрирования сайтом дает большие возможности для осуществления вредоносных действий.
Далее мы рассмотрим основные способы получения доступа к панели управления сайтом, а также методы защиты от них:
Брутфорс пароля
Подбор пароля происходит путем использования специального словаря в котором содержится определенный шаблон подстановки ключевого слова. Чем проще пароль например «qwerty« или «admin123« тем быстрее произойдет корректный подбор пароля к панели управления сайтом. Для подбора нужной комбинации используются высокопроизводительные системы способные производить сотни тысяч операций подстановки в секунду.
Что можно сделать, чтобы снизить риск подбора пароля:
Еще одним способом получения доступа к панели управления сайтом является кража пароля. Ниже представлены наиболее частые виды хищения:
Данный способ достаточно часто используется для взлома пароля администратора. Существую такие варианты получения доступа к базе данных:
Увеличение уровня доступа путем редактирования прав пользователя до уровня администратора
Большинство современных CMS позволяют создавать новых пользователей с различными привилегиями: суперпользователь, администратор, менеджер, редактор, гость и так далее. Некоторые CMS в особенности старые версии имеют разные уязвимости, которые злоумышленник, при определенных условиях может эксплуатировать, назначая привилегии зарегистрированному пользователю или менеджеру до уровня администратора.
Защититься от этого достаточно просто:
Существует большое количество способов получения доступов к панели администрирования сайтом и мер противодействия им. Самой эффективной мерой защиты от взлома будет соблюдения всех вышеизложенных рекомендаций, так как именно комплексная мера защиты - это залог безопасной работы сайта на длительное время.
Вы всегда можете обратиться к специалистам по вопросам безопасности вашего сайта.
Далее мы рассмотрим основные способы получения доступа к панели управления сайтом, а также методы защиты от них:
- Брутфорс пароля (последовательный подбор пароля из заданного словаря)
- Кража пароля
- Генерация нового пользователя с правами администратора в определенную таблицу базы данных
- Увеличение уровня доступа путем редактирования прав пользователя до уровня администратора
Брутфорс пароля
Подбор пароля происходит путем использования специального словаря в котором содержится определенный шаблон подстановки ключевого слова. Чем проще пароль например «qwerty« или «admin123« тем быстрее произойдет корректный подбор пароля к панели управления сайтом. Для подбора нужной комбинации используются высокопроизводительные системы способные производить сотни тысяч операций подстановки в секунду.
Что можно сделать, чтобы снизить риск подбора пароля:
- Использование более сложного пароля, который состоит из случайной комбинации цифр и символов. Например, пароль можно сгенерировать используя специальный генератор паролей. Пример безопасного пароля «Cce1ZWSjWm». Также не рекомендуется устанавливать пароль, который каким либо образом перекликается с используемым логином
- Ограничение доступа к файлу или каталогу (паролирование директорий например через файл .htaccess)
- Настройка модулей безопасности веб-сервера (использование специальных правил в файлах конфигураций, при помощи которых можно заблокировать подозрительные запросы)
- Ограничение доступа по ip адресу (например установка специальных директив в файл .htaccess)
- Изменения адреса панели администратора (Например в Joomla по умолчанию адрес панели
выглядит так: https://имя_cайта/administrator, в данном случае при изменении стандартного адреса например
на https://имя_cайта/security_zone, безопасность панели администрирования повышается в несколько раз) - Установка дополнительного компонента (плагина) безопасности для CMS блокирующий доступ к системе при многократном некорректном вводе пароля
Еще одним способом получения доступа к панели управления сайтом является кража пароля. Ниже представлены наиболее частые виды хищения:
- Хищение пароля, который хранился в файловой системе администратора сайта в открытом виде (не зашифрованный пароль в текстовом файле) человеком, который имел доступ к ПК администратора.
- Похищение cookie того или иного браузера при условии сохранения хэша пароля, после чего полученный хэш расшифровывается перебором по словарю
- Получение доступа к панели администрирования при помощи уязвимости в скриптовой части сайта (например через SQL-инъекцию)
- Заражение компьютера человека, имеющего доступы к сайту, трояном, который собирает пароли из специального хранилища в браузере
- Использование злоумышленником на удаленной машине администратора сайта, программы кей-логера, которая собирает введенную информацию с клавиатуры в файл и отправляет его взломщику
- Воровство дампа базы данных сайта с паролем или хэшем пароля администратора
- Применения социальной инженерии (фишинг-письмо или фишинг-страница), например человеку, который администрирует сайт отправляется сообщение, с якобы его сайта, что ему необходимо изменить данные для доступа, так как они устарели. Далее человек переходит на фишинг-страницу, которая выглядит, как привычная страница для смены пароля CMS. URL страницы при этом может быть максимально похож на оригинальную страницу используемой CMS. После ввода информации (актуального логина и пароля) на фейковой странице данные из формы отправляются злоумышленнику.
- Использование официальных дистрибутивов программного обеспечения.
- Слежение за актуальной информацией из официальных источников о текущей версией CMS.Обновление используемой CMS до актуальной версии
- Использование лицензированного антивирусного решения на рабочем ПК с актуальными вирусными базами. Как минимум раз в месяц проводить принудительную проверку на вирусы всей файловой структуры компьютера
- Умное использование данных для доступа к панели администрирования сайтом (не хранить данные для доступа в открытом виде, не сохранять пароли в браузере или FTP - клиенте)
- Осторожность и максимальная внимательность администратора
Данный способ достаточно часто используется для взлома пароля администратора. Существую такие варианты получения доступа к базе данных:
- Используя уязвимость в скриптовой части сайта (SQL-инъекция)
- Подбор пароля используя внешние инструменты доступа к базе данных, например phpMyAdmin
- Выполнить обновление CMS, которое закроет уязвимости.
- Установить права "только для чтения", на файл, в котором хранится информация о актуальных данных для подключения к базе данных сайта
- Отказаться от стандартных обозначений имен таблиц, в которых хранится информация для доступов пользователей сайта.
Увеличение уровня доступа путем редактирования прав пользователя до уровня администратора
Большинство современных CMS позволяют создавать новых пользователей с различными привилегиями: суперпользователь, администратор, менеджер, редактор, гость и так далее. Некоторые CMS в особенности старые версии имеют разные уязвимости, которые злоумышленник, при определенных условиях может эксплуатировать, назначая привилегии зарегистрированному пользователю или менеджеру до уровня администратора.
Защититься от этого достаточно просто:
- Соблюдать умную пользовательскую политику. При необходимости отключать сервисы регистрации новых пользователей на сайте, например, если на сайте она не используется.
- Назначать строго определенные права тем или иным группам пользователей
- Логировать действия зарегистрированных пользователей путем установки специальных расширений для CMS
Существует большое количество способов получения доступов к панели администрирования сайтом и мер противодействия им. Самой эффективной мерой защиты от взлома будет соблюдения всех вышеизложенных рекомендаций, так как именно комплексная мера защиты - это залог безопасной работы сайта на длительное время.
Вы всегда можете обратиться к специалистам по вопросам безопасности вашего сайта.