Aktualności


Zaniedbany CMS – konsekwencje, rozwiązania, ochrona

CMS (ang. Content Management Systemt) to System Zarządzania Treścią, czyli struktura posiadająca własny panel administracyjny, który umożliwia użytkownikowi dodawanie różnego rodzaju zawartość na swoją witrynę www. Administrator takiej witryny ma możliwość umieszczenia na swojej stronie artykułów, zdjęć, filmów, plików pdf, doc jak i wielu innych, a także stworzenie swoistego rodzaju archiwum składającego się z kategorii i podstron.

Wiele firm jak i zwykłych użytkowników sieci wykorzystuje CMS z powodu ich łatwego w obsłudze zaplecza, ale także z możliwości rozszerzenia ich działania. Systemy te dzielimy na „otwarty kod źródłowy" (ang. open source) oraz „zamknięty kod źródłowy". Pierwszy z nich jest najpopularniejszym z powodu możliwości pobrania go za darmo najczęściej ze strony producenta, dalszego rozwijania, wprowadzania własnych rozwiązań i pomysłów oraz poszerzeniu funkcjonalności, drugi natomiast jest kodem stworzonym przez firmę i jest dostępny tylko i wyłącznie w obrębie firmy bądź po kupnie.

Architektura z zamkniętym kodem jest najczęściej używana przez bardzo duże firmy, którym nie są potrzebne dodatkowe wtyczki, komponenty i moduły, gdyż CMS jest przygotowany całkowicie pod klienta według otrzymanych wytycznych. Najczęściej jest tworzony w zamkniętej grupie programistów, grafików, web deweloperów oraz osób odpowiedzialnych za odpowiednie zabezpieczenie takiego systemu.
Z tego też powodu bardzo duża ilość klientów decyduje się na strukturę „open source" dlatego iż można ją ciągle rozwijać dzięki bardzo dużej ilości dodatków do tego systemu.

Najpopularniejszymi CMSami open source są obecnie Wordpress oraz Joomla! Korzysta z nich miliony użytkowników na świecie m.in. organizacje non profit, kluby sportowe, sportowcy jak również taka firma jak Lipton Ice Tea. Jako jedne z najpopularniejszych systemów z otwartym kodem są one narażone na potencjalne ataki hakerów, botów internetowych lub innych działań mających na celu uszkodzenie lub zaszkodzenie danej stronie.

Aktualizacja to podstawa

Wielu użytkowników po utworzeniu nowej witryny i zainstalowaniu CMSa skupia się przede wszystkim na zarządzaniu treścią równocześnie zapominając o aktualizowaniu jej dodatków lub wersji. CMS Joomla który pojawił się na rynku od 2005 roku w wersji 1.0 jest na bieżąco aktualizowany, a twórcy ciągle starają się pracować nad zabezpieczeniem wszelkich luk w swoim systemie. W ciągu 12 lat wypuścili bardzo wiele wersji, a aktualny wypust na dzień 06.09.2017 to Joomla 3.7.5, w przygotowaniu jest już wersja 3.8. Wszelkie poprzednie wersje straciły już wsparcie, co wiąże się z ryzykiem poważnych włamań i naruszeń. Programiści z całego świata pomagają twórcom CMSa i wypuszczali patche zabezpieczające stare wersje witryny, jednak nie dają one 100% skuteczności odparcia zmasowanego ataku na witrynę. Dlatego najważniejszą zasadą jest jak najszybsza migracja systemu ze starej wersji na najnowszą. Wiąże się to z przeniesieniem treści, zmianą struktury bazy danych i wymianą komponentów i szablonów, gdyż ich struktura również uległa zmianie w procesie ulepszania systemu.

Dotyczy się to samo CMS Wordpress, który również na przestrzeni 14 lat uległ wielu zmianom i ulepszeniom w celu ułatwienia pracy użytkownikom jak i zabezpieczeniu. Pierwszy wypust miał miejsce 27 maja 2003 jako wersja 0.7, aktualnie nad zień 06.09.2017 dostępna jest wersja 4.8.
Według danych z 1 marca 2017 roku według firm analizujących rynek IT 27,6 % stron jest postawionych na CMSie WordPress zaraz za nim znajduje się Joomla z wynikiem 3,3% oraz Drupal 2,2%. Jak widać ponad 30% stron korzysta z darmowych CMSów które bez ciągłych aktualizacji są narażone na zniszczenie reputacji naszej witryny jak samej strony.

Gdy nastąpi włamanie

Kiedy strona zostanie zainfekowana należy czym prędzej ściągnąć ją z sieci w celu przeprowadzenia oczyszczenia. Dlaczego należy ściągnąć stronę? Ponieważ jeżeli atak był w najlepszym przypadku przeprowadzony w celu zniszczenia wyglądu strony i namieszania w treści to ucierpi tylko na tym wygląd strony, jednak ataki przeprowadzane przez boty powodują, że na serwerze zostają umieszczone zainfekowane pliki, które mają przypominać w strukturze elementy jądra systemu i części naszego CMSa, a tak naprawdę sprawiają, że nasza strona rozsyła spam. W takim przypadku jeżeli naszą stronę zgłosi wielu użytkowników zostaniemy dodanie na czarną listę i bez odpowiedniego wyczyszczenia instalacji nie będziemy zdjęci z listy spamerów.
Z naszego doświadczenia wiemy, że taką stronę należy przejrzeć w celu zlokalizowania zainfekowanych plików, a jeśli nie są one widoczne od razu trzeba ją przeskanować odpowiednimi aplikacjami w celu wykrycia zainfekowanych plików bądź znalezienia zmienionej struktury pliku kodu jądra systemu. Po tym gdy aplikacja znajdzie który z danych plików jest szkodliwy i zainfekowany trzeba go albo oczyścić lub usunąć, ale aby to zrobić trzeba wiedzieć, które pliki wchodzą w skład jądra systemu CMS, bez tej znajomości możemy uszkodzić system jeszcze bardziej niż podczas ataku, dlatego nie zaleca się takich operacji dla osób które nie mają styczności z systemami CMS.

Po oczyszczeniu

Gdy system zostanie odpowiednio „oczyszczony" ze szkodliwego oprogramowania użytkownik powinien odpowiednio zabezpieczyć swoją stronę. W przypadku starych wersji systemu CMS jest to trudnym zadaniem, jednak nie niemożliwym. Pierwszą rzeczą jaką należy zrobić to zabezpieczyć oczyszczoną stronę i zrobić jej kopię zapasową, aby w przypadku kolejnego włamania móc szybko przywrócić stronę do stanu przed atakiem. Kolejną rzeczą jaką należy zrobić to odpowiednio zabezpieczyć zaplecze administracyjne, jeżeli nie mamy narzędzi do ochrony strony to przede wszystkim należy zrobić parę prostych zabiegów, mianowicie zmienić popularną nazwę administratora z „admin" na np. „uzytkownik_strony123", ponieważ boty bardzo często próbujące dostać się na zaplecze zaczynają ataki właśnie na użytkownika o nazwie admin, a następnie próbują przez operacje Brute Force wyciągnąć hasło administratora lub najczęściej używanymi hasłami złamać dostęp do zaplecza strony.

Gdy nasze zaplecze zostanie odpowiednio zabezpieczone następnie należy wykonać operacje ze strony serwera. Zmienić hasło do bazy danych, hasło dostępu do FTP, a także na wszelki wypadek dostępu do panelu administracyjnego serwera. Czasem zmiany te są potrzebne gdyż może się okazać, że wyciek haseł do FTP, panelu serwera bądź strony nastąpił z naszego komputera. Należy zawsze pamiętać o tym aby mieć zainstalowane na komputerze oprogramowanie antywirusowe i firewalla, oraz nie zapisywać haseł do naszej strony w pamięci przeglądarki, a haseł do FTP w programie, gdyż są one w tym momencie przetrzymywane w pamięci komputera i łatwe do wyciągnięcia przez hakera, dlatego warto mieć hasła przetrzymywane w programie do przetrzymywania haseł w takim przypadku należy pamiętać tylko jedno hasło, a po jego odblokowaniu mamy dostęp do wszystkich naszych zapisanych haseł FTP i WWW.

Gdy hasła zostaną zmienione ostatnią rzeczą jaką powinniśmy zrobić to sprawdzić czy wszystkie dostępy do naszych plików i folderów są odpowiednie w przypadku folderów muszą one wynosić 755 a w przypadku folderów 644, jeżeli w którymś miejscu będą one za wysokie to musimy je koniecznie zmienić, gdyż jest to kolejna luka przez którą może nastąpić kolejny atak na naszą witrynę.

Certyfikat SSL

Na naszym serwerze wdrażamy protokuł bezpieczeństwa wykorzystywany na stronach internetowych. Po jego zainstalowaniu dane przesyłane przez internet stają się poufne np. www, serwer ftp, połączenie z pocztą e-mail. W celu zwiększenia przepływu bezpieczeństwa danych na stronie namawiamy klientów naszego serwera na rozpatrzenie zainstalowania takiego certyfikatu, gdyż nie dość, że zwiększa on bezpieczeństwo na stronie to jeszcze będzie on wymagany przez Google. Amerykański gigant zapowiedział, że w najbliżej przyszłości końcówka 2017 roku początek 2018 roku strony bez certyfikatu SSL będą spadały w rankingu Google, ponieważ będą niebezpieczne dla klienta.

Typy ataków stosowane na CMSy.

Jak wspomniane zostało wyżej Joomla oraz Wordpress to dwa najpopularniejsze CMSy, które ciągle są atakowane. Głównymi powodami takich ataków są często stosowane komponenty nie wypuszczane przez twórców CMSów, a programistów nieoficjalnych. Jeżeli taki moduł, dodatek bądź komponent przestanie być wspierany przez swojego twórce, który nie dostosował się do nowych wytycznych wersji systemu na który został stworzony może być on źródłem włamu.

Jakie luki najczęściej są wykorzystywane przez hakerów:
- manipulacja danymi
- dostęp do danych
- phishing
- wykonanie kodu

Aby jednak wykorzystać te luki musi zostać przeprowadzona operacja, pozwalająca dostać się do strony. Najczęściej stosowanymi operacjami są: SQL Injection, luka w zabezpieczeniach pliku, Cross-Site Scripting, comment spam, zdalne wykonanie poleceń, udostępnianie pliku.

Ochrona przed atakami.

Niestety nie ma 100% ochrony przed włamaniami na strony, gdyż tak samo jak programiści, osoby zajmujące się bezpieczeństwem i inne osoby z branży IT tak i hakerzy codziennie poszerzają swoją wiedzę w celu tworzenia to co raz nowszych sposobów na włamanie się na strony w celu żartu, jej uszkodzenia lub wykradzenia danych.
My staramy się odpowiednio zabezpieczać strony naszych klientów poprzez regularne aktualizacje zainstalowanego CMSa, instalacje najnowszych wersji zainstalowanych rozszerzeń, tworzymy backupy serwisów zawsze przed wgrywaniem nowych wersji CMSa i dodatków. Instalujemy również specjalną aplikację antywirusową która pozwala nam zabezpieczyć stronę przed atakami, dzięki wbudowanemu firewallowi, scanerowi plików PHP, a także wieloma innymi funckjonalnościami jak tworzenie odpowiedniego pliku .htacces, zwiększamy bezpieczeństwo witryny.

Program antywirusowy sprawia, że dostęp do zaplecza administarcyjnego jest utrudniony, ponieważ należy znać odpowiednie słowo klucz aby dostać się do zaplecza, pondto wbudowany firewall i inne wykorzystywane funkcje w nim dostępne pozwalają podczas próby wymuszenia działań nieporządanych zablokować osobę próbującą dokonać ataku.
Jedną z ciekawszych funkcji na pewno jest to, że użytkownik może zablokować dany rejon bądź państwo. Jak to działa? Jako przykład podajmy Korę Północną, dajmy na to, że nasza strona jest często atakowana przez IP pochodzącze właśnie tego państwa, dzięki naszemu firewallowi możemy zablokować całkowicie dostęp dla osób z IP z tego państwa, a nawet z całej Azji.

Wszystkie powyższe czynności wykonają Państwo w naszej firmie!

Zapraszam do współpracy.

Maciej Kalinowski
właściciel DGS Multisolution