Компания Яндекс разместила последнюю информацию о наиболее распространенных CMS и слабым местам, которые позволяют размещать заражённые коды на взломанных сайтах, а также предоставил несколько рекомендаций, позволяющие защитить CMS.

Самыми уязвимыми для мошенников являются тиражируемые CMS и чем популярнее сайт, тем больше средств и усилий вкладывают злоумышленники в поиск слабых мест. Более защищёнными в этом случае являются CMS собственных разработок.

Самая большая доля CMS на популярных российских сайтах принадлежит WordPress. Сайты, которые используют WordPress версии 2.9.2, 2.1.3, 3.2.1 оказываются заражёнными чаще других. По состоянию на сентябрь 2011 уже известно о 57 новых уязвимостей WordPress.

На второе место после WordPress попали CMS Joomla версии 1.5. Сайтам, которые используют данную версию, следует дополнительно позаботиться о собственной безопасности. В текущем году была представлена информация о 38 новых уязвимостей в программном коде Joomla.

По мнению Яндекса необходимо соблюдать несколько простых правил, чтобы избежать взлома сайта.

1. Выполнять регулярное обновление CMS.

2. Не показывать версию и тип установленной CMS и её плагинов. Установить соответствующую защиту на обнаружение сайта в поисковике по запросу — “дорк», которыми пользуются злоумышленники.

3. Использовать только лицензионные версии CMS.

4. Выполнять проверку всех введённых пользователем данных на страницах сайта или переданных с помощью запросов на сервер. Установив такой фильтр можно значительно снизить уязвимость DLE Shop. Проводить комплексное тестирование рекомендуется силами компетентных специалистов по тестированию на проникновение.

5. Свести к минимуму использование скриптов и модулей сторонних разработок. Сами пакеты CMS уязвимости, как правило, не содержат. Основная их часть приходится на дополнения, в том числе и приходящие из официальных источников.

6. Обеспечить безопасную работу в сети интернет администраторов и вебмастеров. Запретить сохранять в браузере и FTP-клиенте пароли доступа, установить антивирусную защиту и файрволл.

7. Устанавливать на веб-сервера только лицензионное ПО.