При создании сайта важно выбрать систему управления контентом (англ. – CMS, неофиц. – «движок»), соответствующую целям и задачам. Но необходимо позаботиться и о том, чтобы сайт не был взломан злоумышленниками. Как использование той или иной CMS может повлиять на безопасность и только ли от нее все зависит, расскажем в статье.
Кого и как «ломают»?
В последнее время активность хакеров возросла, и многие владельцы сайтов, ранее не задумывавшиеся о безопасности, перестали руководствоваться соображением «а кому мы нужны?». Действительно, нападению может подвергнуться любой сайт, поскольку большинство становится жертвами массовых атак. В таких случаях хакер не направляет усилия против конкретной компании. Вместо него действует бот, заражающий все сайты, до которых может «дотянуться».
Итак, какие виды атак наиболее актуальны сейчас:
- перехват мобильного трафика для перенаправления пользователей на сторонние ресурсы, кражи паролей и средств при их переводе по незащищенному соединению;
- заражение сайтов вредоносными кодами, которые могут сработать не сразу или открывают доступ к сайтам, расположенным на том же хостинге;
- получение доступа к сайту для рассылки спама, сбора данных пользователей, размещения посторонних рекламных баннеров.
Все эти действия весьма неприятны и для пользователей, и для владельцев сайтов. Нужно помнить, что отсутствие видимых проблем не означает, что вирусов действительно нет. И до сих пор не случившийся взлом не показатель абсолютной защищенности сайта. Поэтому так важно заранее подумать о безопасности.
Виды CMS и их устойчивость к атакам
Сразу отметим: система как таковая может быть в той или иной степени безопасной, но только при условии правильной работы с ней и внимательного отношения к сайту. Халатное отношение к элементарным требованиям защиты доступа «победит» и самую совершенную CMS. А варианты таковы:
- Бесплатные CMS. Наиболее популярные из них – WordPress, Joomla, Drupal, OpenCart. Самой защищенной считается Drupal, наиболее уязвимой называют WordPress. Проблема в том, что при расширении функциональности сайта, созданного на бесплатной CMS, используются специальные плагины. Но кто и когда их разрабатывал – это отдельный вопрос. Кроме того, системы постоянно совершенствуются, и их необходимо своевременно обновлять. Поэтому взломы сайтов на бесплатных CMS чаще всего происходят из-за игнорирования новых версий систем и после установки плагинов сомнительного происхождения.
- Платные CMS. Такие системы при исследовании количества взлома сайтов на разных CMS оказываются более безопасными. Но не исключено, что владельцы сайтов на платных продуктах просто уделяют больше внимания (и средств) содержанию команды специалистов, обеспечивающих защиту сайта. Тем не менее, при использовании платных систем сложно пропустить важные обновления – о них напомнят менеджеры разработчика, а значит, повышаются шансы повысить базовый уровень безопасности.
- Самописные CMS. В этом случае все зависит от квалификации создателя системы и его желания обеспечивать заказчиков продуктом, отвечающим современным требованиям. Также владельцы сайтов на таких CMS рискуют оказаться один на один с системой, если разработчик отказывается от сотрудничества, а специалистов, готовых изучать чужое творение, нет. Единственный выход – сразу обращаться в компанию, предлагающую самописную CMS с открытым кодом и работающую на рынке много лет.
Как видно, неуязвимых нет: каждый тип систем имеет свои особенности и несет с собой определенные риски. Кроме того, неправильный выбор CMS – это не единственная причина взлома.
Когда CMS не виновата
Как уже упоминалось, требования безопасности нужно соблюдать, независимо от того, на WordPress ли работает сайт или разработан мощный ресурс на платном «движке». Причиной взлома могут стать:
- уязвимость хостинга, не уделяющего должного внимания защите сайтов (нужно выбирать надежных подрядчиков, не экономя на услугах);
- потеря паролей доступа к сайту (настоятельно рекомендуется регулярно менять пароли, не оставлять их в открытом доступе и не работать с сайтом по незащищенному соединению Wi-Fi);
- атака на соседей по хостингу (необходимо убедиться, что сайт закрыт от них, и регулярно проверять наличие вирусов специальными программами);
- заражение сайта через компьютер управляющего им пользователя (все, кто имеют доступ к сайту, обязаны знать элементарные правила безопасной работы в сети);
- целенаправленная атака на сайт (конкуренты, обиженные сотрудники, азартные хакеры – заинтересоваться крупным или успешным ресурсом могут многие).
Даже если выбрана надежная CMS, небрежное отношение к паролям или неоправданное доверие к исполнителю разовой работы могут стать причиной неприятностей. Поэтому полагаться только на «правильную» систему не стоит.
Что в итоге?
От CMS зависит удобство управления контентом, возможность реализации тех или иных функций, расходы на содержание сайта. Конечно, те или иные средства защиты есть у каждой системы, и их необходимо использовать, устанавливая нужные плагины и регулярно обновляя версии. Но без комплексной работой над обеспечением безопасности сайта эти действия могут не принести ожидаемого результата. А любой перебой в работе – это потеря репутации и денег.
Поэтому важно не дожидаться взлома, а стараться заранее предотвратить возможные проблемы, следуя рекомендациям специалистов по информационной безопасности. Даже если у вас «просто малый бизнес».
