28 Сентября, 2014

Почему плагины безопасности не защищают сайт от взлома

revisium
Для надежной и бесперебойной работы сайту нужно обеспечить комплексную безопасность. В одной связке должны работать Web Application Firewall (WAF) или проактивная защита, контроль целостности файловой системы, продвинутая система резервного копирования, многофакторная аутентификация для панели администратора и многие другие технологии, которые выполняют мониторинг и защищают сайт от компрометации, ограничивая доступ к информации и панели управления неавторизованным пользователям. Редкие системы управления сайтами (CMS) могут похвастаться встроенными средствами, обеспечивающими безопасное функционирование и защиту от взлома. В большинстве популярных CMS (Wordpress, Joomla, Drupal и др) в версиях, что называется, “из коробки”  весьма скудный набор средств защиты сайта.

Что делать, если система управления сайтом не включает нужные компоненты безопасности? Их недостаток легко компенсируется плагинами, одна часть которых – это узкоспециализированные расширения, например, выполняющие только процесс резервного копирования и восстановления сайта (WordpressDBBackup, AkeebaBackup и др.), а другая – многофункциональные плагины, которые выполняют мониторинг активности, блокировку, фильтрацию и восстановление данных (SucuriSecurity, RSFirewall и др.)

Преследуя цель максимально защитить сайт от взлома, вебмастер устанавливает все доступные securityплагины, следуя принципу “безопасности не бывает слишком много”. А для большей надежности подключает сайт к внешним антивирусным сервисам, которые также пытаются защищать сайт от вредоносного кода. Вначале сайт работает стабильно, в штатном режиме, но спустя некоторое время с аккаунта хостинга почему-то начинает рассылаться спам, а при входе на сайт с мобильного устройства некоторых посетителей перебрасывает на “ресурс для взрослых”. При тщательной проверке аккаунта хостинга выясняется, что сайт все-таки взломали. Возникает вопрос – как это могло произойти, если сайт все это время был защищен плагинами безопасности и специализированными сервисами?

Продолжение статьи на cmsmagazine.ru.