Для чего нужно защищать панель администрирования сайта

Для чего необходимо защищать панель администрирования сайта в различных CMS



ошибки администраторов Панель управления сайтом — это основной инструмент, при помощи которого, человек обладающий необходимым уровнем доступа может совершать различные операции связанные с управлением системы. Злоумышленник обладая данными для доступа в панель управления может получить доступ к  файловой структуре, базам данных, бэкапам или использовать функции CMS в своих интересах. Получая доступы к управлению сайтом злоумышленник например, может полностью удалить содержимое сайта, использовать сайт как площадку для размещения собственных ссылок (дарк-seo) или использовать различные функции CMS в своих целях. Не нужно быть экспертом, чтобы понять, что для взломщика получение доступа к панели администрирования сайтом дает большие возможности для осуществления вредоносных действий.

Далее мы рассмотрим основные способы получения доступа к панели управления сайтом, а  также методы защиты от них:

  1. Брутфорс пароля (последовательный подбор пароля из заданного словаря)
  2. Кража пароля
  3. Генерация нового пользователя с правами администратора в определенную таблицу  базы данных
  4. Увеличение уровня доступа путем редактирования прав пользователя до уровня администратора


Брутфорс пароля

Подбор пароля происходит путем использования специального словаря в котором содержится определенный шаблон подстановки ключевого слова. Чем проще пароль например «qwerty« или «admin123« тем быстрее произойдет корректный подбор пароля к панели управления сайтом. Для подбора нужной комбинации используются высокопроизводительные системы способные производить сотни тысяч операций подстановки в секунду.

Что можно сделать, чтобы снизить риск подбора пароля:

  1. Использование более сложного пароля, который состоит из случайной комбинации цифр и символов. Например, пароль можно сгенерировать используя специальный генератор паролей. Пример безопасного пароля «Cce1ZWSjWm». Также не рекомендуется устанавливать пароль, который каким либо образом перекликается с используемым логином
  2. Ограничение доступа к файлу или каталогу (паролирование директорий например через файл .htaccess)
  3. Настройка модулей безопасности веб-сервера (использование специальных правил в файлах конфигураций, при помощи которых можно заблокировать подозрительные запросы)
  4. Ограничение доступа по ip адресу (например установка специальных директив в файл .htaccess)
  5. Изменения адреса панели администратора (Например в Joomla по умолчанию адрес панели
    выглядит так: https://имя_cайта/administrator, в данном случае при изменении стандартного адреса например
    на https://имя_cайта/security_zone, безопасность панели администрирования повышается в несколько раз)
  6. Установка дополнительного компонента (плагина) безопасности для CMS блокирующий доступ к системе при многократном некорректном вводе пароля


Кража пароля

Еще одним способом получения доступа к панели управления сайтом является кража пароля. Ниже представлены наиболее частые виды хищения:

  1. Хищение пароля, который хранился в файловой системе администратора сайта в открытом виде (не зашифрованный пароль в текстовом файле) человеком, который имел доступ к ПК администратора.
  2. Похищение cookie того или иного браузера при условии сохранения хэша пароля, после чего полученный хэш расшифровывается перебором по словарю
  3. Получение доступа к панели администрирования при помощи уязвимости в скриптовой части сайта (например через SQL-инъекцию)
  4. Заражение компьютера человека, имеющего доступы к сайту, трояном, который собирает пароли из  специального хранилища в браузере
  5. Использование злоумышленником на удаленной машине администратора сайта, программы кей-логера, которая собирает введенную информацию с клавиатуры в файл и отправляет его взломщику
  6. Воровство дампа базы данных сайта с паролем или хэшем пароля администратора
  7. Применения социальной инженерии (фишинг-письмо или фишинг-страница), например человеку, который администрирует сайт отправляется сообщение, с якобы его сайта, что ему необходимо изменить данные для доступа, так как они устарели. Далее человек переходит на фишинг-страницу, которая выглядит, как привычная страница для смены пароля CMS. URL страницы при этом может быть максимально похож на оригинальную страницу используемой CMS. После ввода информации (актуального логина и пароля) на фейковой странице данные из формы отправляются злоумышленнику.


Что нужно делать, чтобы избежать хищения пароля:

  1. Использование официальных дистрибутивов программного обеспечения.
  2. Слежение за актуальной информацией из официальных источников о текущей версией CMS.Обновление используемой CMS до актуальной версии
  3. Использование лицензированного антивирусного решения на рабочем ПК с актуальными вирусными базами. Как минимум раз в месяц проводить принудительную проверку на вирусы всей файловой структуры компьютера
  4. Умное использование данных для доступа к панели администрирования сайтом (не хранить данные для доступа в открытом виде, не сохранять пароли в браузере или FTP - клиенте)
  5. Осторожность и  максимальная внимательность администратора


Генерация нового пользователя с правами администратора определенную таблицу  базы данных

Данный способ достаточно часто используется для взлома пароля администратора. Существую такие варианты получения доступа к базе данных:

  1. Используя уязвимость в скриптовой части сайта (SQL-инъекция)
  2. Подбор пароля используя внешние инструменты доступа к базе данных, например phpMyAdmin


Для избежания добавления нового пользователя с привилегиями администратора необходимо следовать данным рекомендациям:

  1. Выполнить обновление CMS, которое закроет уязвимости.
  2. Установить права "только для чтения", на файл, в котором хранится информация о актуальных данных для подключения к базе данных сайта
  3. Отказаться от стандартных обозначений имен таблиц, в которых хранится информация для доступов пользователей сайта.


Увеличение уровня доступа путем редактирования прав пользователя до уровня администратора

Большинство современных CMS позволяют создавать новых пользователей с различными привилегиями: суперпользователь, администратор, менеджер, редактор, гость и так далее. Некоторые CMS в особенности старые версии имеют разные уязвимости, которые злоумышленник, при определенных условиях может эксплуатировать, назначая привилегии зарегистрированному пользователю или менеджеру до уровня администратора.

Защититься от этого достаточно просто:

  1. Соблюдать умную пользовательскую политику. При необходимости отключать сервисы регистрации новых пользователей на сайте, например, если на сайте она не используется.
  2. Назначать строго определенные права тем или иным группам пользователей
  3. Логировать действия зарегистрированных пользователей путем установки специальных расширений для CMS


Существует большое количество способов получения доступов к панели администрирования сайтом и мер противодействия им. Самой эффективной мерой защиты от взлома будет соблюдения всех вышеизложенных рекомендаций, так как именно комплексная мера защиты - это залог безопасной работы сайта на длительное время.

Вы всегда можете обратиться к специалистам по вопросам безопасности вашего сайта.






Услуги информационной безопасности

Заказать услугу

Для заказа лечения сайта или услуги профилактической защиты, пожалуйста, заполните форму. Наш специалист свяжется с Вами в течение 10 минут.

Нажимая на кнопку "Заказать", вы выражаете свое согласие на обработку персональных данных