Max Home IndustryАтаки на популярные системы управления контентом слишком распространены, и с учетом того, что в настоящее время хакерство считается крупным бизнесом, нет никаких признаков снижения количества атак. Таким образом, CMS оказались в эпицентре бури, считая себя главной целью как для скрипачей, так и для профессиональных хакеров, поскольку они занимают самую большую долю рынка электронной коммерции.
Статистика, представленная в последнем отчете Sucuri о тенденциях взлома веб-сайтов, рисует удручающую картину, в основном из-за того, что пользователи широко применяют CMS, которая
… создает серьезные проблемы для Интернета в целом, поскольку приводит к большому притоку неквалифицированных веб-мастеров и поставщиков услуг, ответственных за развертывание и администрирование этих сайтов.
Само по себе это не говорит об уязвимостях безопасности, присущих самим CMS; просто взгляните на постоянно растущие списки CVE (Common Vulnerabilities and Exposures), относящиеся к трем популярным фреймворкам:
CVE для WordPress
CVE для Joomla
CVE для Drupal
и если вы добавите к этому последнюю и растущую тенденцию в области программ-вымогателей, ситуация быстро станет намного страшнее.
Итак, какие здесь варианты, как это сделать? Безусловно, использование ряда передовых практик, а также здравого смысла, таких как мониторинг списков CVE или исправление и обновление систем, действительно помогает, но они не панацея, поскольку не все имеют или могут быть обучены их следованию.
Кроме того, есть возможность проверки безопасности и тестирования на проникновение, которые являются дорогостоящими и доступны для квалифицированных профессионалов, хотя любой, кто размещает веб-сайт, должен, по крайней мере, быть знаком с XSS. К счастью, мы уже позаботились об этой части, проверив и предлагая два отличных образовательных сервиса, Hacksplaining и XSShunter.
Другой, лучший вариант, который напрямую связан с источником проблемы, — это исправить инфраструктуру, саму CMS. Идея настолько проста, насколько нова.
Давайте начнем с усиленной CMS, которая с самого начала может в достаточной степени защитить своего пользователя.
Давайте обратим внимание на недостатки наиболее популярных CMS и будем использовать их в качестве ориентира.
Именно это и сделала Airship, безопасная PHP CMS с открытым исходным кодом, разработанная Paragon Initiative Enterprises.
Но что подразумевается под безопасным, насколько он безопасен и почему он более безопасен, чем другие?
Paragon, по-видимому, сделал свою домашнюю работу и внимательно изучил как хорошие, так и плохие стороны большой тройки, WordPress, Joomla и Drupal, как указано в отчете О (не) безопасности популярных систем управления контентом с открытым исходным кодом, написанных на PHP. , который сравнивает их с достоинствами собственной CMS дирижабля.
Из этого отчета мы извлекли уродливые ключевые точки, поскольку они представляют больший интерес:
Мудрый безопасности
Две из трех самых популярных CMS не делают автоматических обновлений
Joomla не предлагает автоматических обновлений безопасности. В случае обнаружения уязвимости в системе безопасности Joomla и выпуска исправления каждый отдельный оператор сайта Joomla должен проверить и установить обновление вручную. Пока патч не будет применен, ваши системы уязвимы. Как следствие, на большинстве веб-сайтов Joomla по-прежнему используются устаревшие версии Joomla.
Затем тот, кто это делает, делает это
небезопасно. Автоматические обновления WordPress не имеют криптографической подписи с (автономным) закрытым ключом. Это означает, что если злоумышленник может взломать их серверы обновлений и загрузить вредоносную загрузку, он может установить троян на 26,6% веб-сайтов в Интернете.
WordPress и Joomla не используют подготовленные операторы, в то время как Drupal почти использует
WordPress использует соленый MD5 для хеширования паролей, в то время как Drupal использует неоптимальный SHA512Crypt.
Joomla не использует экранирование вывода с учетом контекста
Более того,
Разработчики WordPress с гордостью хвастаются тем, что WordPress поддерживает каждый четвертый веб-сайт, и гордятся тем, что поддерживают неподдерживаемые версии PHP как функцию «удобства использования», а не как обязательство по обеспечению безопасности, которое потенциально может нарушить работу Интернета для всех.
В конце концов, есть два способа решить эту дилемму: заставить основные команды каждого большого проекта CMS серьезно относиться к безопасности или перейти к проекту CMS, который уже серьезно относится к безопасности.
Paragon выбрала последнее и настоятельно призывает вас тоже.
Во встречном предложении Airship устраняет вышеупомянутые недостатки следующим образом:
О безопасном хранении паролей Большинство функций шифрования и хранения паролей обеспечивается их оболочкой libsodium, Halite.
При автоматических обновлениях AirShip использует автоматические обновления, которые, кроме того, подписываются с помощью криптографии с открытым ключом, при этом уведомляет всех и устанавливает обновление в течение часа после исправления.
Они охватывают минимум, но есть также:
Подготовленные заявления
Защита от CSRF
Контекстно-зависимое экранирование вывода
Политика безопасности контента
Закрепление открытого ключа HTTP
Хеширование паролей
И список продолжается.
Есть очень полезная сравнительная таблица, которая на первый взгляд демонстрирует сильные стороны Airship по сравнению с недостатками других CMS.
Что еще более интригует, так это то, что в случае установки Tor Airship может проксировать все сетевые запросы через него, тем самым предотвращая раскрытие IP-адреса сервера.
CMS Wise
Структура дирижабля аналогична структуре MVC, отличается только терминология; Модель называется Blueprint, View называется Lens (по сути, это файлы шаблонов, отображаемые Twig), а Controller называется Landing.
Настройку упрощает система Gears, которая предоставляет интерфейс самим базовым классам и позволяет адаптировать их во время выполнения.
Тогда есть
Каюты: автономные приложения
Гаджеты: изменяет функциональность существующей кабины (или самого двигателя).
Мотивы: изменяет внешний вид существующей каюты.
Монтаж
Минимальные требования:
PHP 7.0 или новее
PECL Libsodium 1.0.6 или новее
Libsodium 1.0.10 или новее
PostgreSQL 9.5 и ext / pgsql
Дирижабль также может работать как докеризованный образ через docker-compose.
Версия 1.3.0 была выпущена 29 августа, и, поскольку все еще находится в зачаточном состоянии, ошибки, проблемы и задачи должны быть чем-то естественным, чтобы наткнуться на них. Тем не менее, как проект Github, он открыт для внесения вклада, будь то кодирование, документация, анализ безопасности, тестирование конечных пользователей и т. д. Первые учебные пособия должны появиться в ближайшее время, как указано в этом открытом выпуске.
Это оставляет нам вопрос, действительно ли Airship является ответом на вопрос о более безопасной сети. Конечно, похоже, что потенциал есть, но пока он не получит широкого распространения, мы не можем быть уверены.