Безопасность CMS WordPress, Drupal, Joomla — сравнение безопасности популярных CMS

Безопасность CMS. Любой замок можно открыть, любую систему можно взломать. Эта нехитрая истина, относится ко всем существующим CMS. Не исключение большая тройка CMS WordPress, Drupal и Joomla!. В этой статье поговорим, про безопасность этих систем и попробуем разобраться, почему WordPress пользуется такой популярностью у взломщиков.

Вступление

Мы можем много спорить о достоинствах различных CMS, но статистика неумолима, большую тройку самых популярных CMS, формируют WordPress, Drupal и Joomla.

Стоит отметить, несмотря на все отличия этих систем управления, объединяет их работа на языке программирования PHP и использование систем управления реляционными базами данных, чаще MySQL.

Безопасность CMS WordPress

WordPress (https://ru.wordpress.org/), несомненно, является самой популярной CMS на планете, и по этой причине постоянно подвергается атакам со стороны хакеров. Команда безопасности WordPress состоит из трех десятков экспертов, в том числе разработчиков и исследователей в области безопасности. Количество экспертов безопасности WordPress кажется небольшим, по сравнению количеством сайтов, созданных на WordPress. По всему миру таких сайтов более 70 миллионов, что составляет больше 25% всех сайтов сети.

Коробочная версия WordPress, несмотря на все усилия разработчиков, остается слишком уязвимой. И дело не в том, что безопасность системы слабая. Большое количество сайтов на WordPress открывают для хакеров большое поле деятельности. Обновления системы порой не успевают за обнаруженными дырами безопасности.

С другой стороны, WordPress создавался и позиционируется, как система для блогов, что априори предполагает взаимодействие с читателями на разном уровне: регистрация, авторизация, комментирование, несколько уровней доступа.

Дополняют большое количество точек входа в систему, различные плагины WordPress. Свободный код системы позволяет разрабатывать плагины для расширения функционала, всем желающим. За годы существования системы, сторонних плагинов накопилось тысячи, все они доступны и никак не проверяются. Перед установкой плагина вы увидите сообщения системы, что плагин давно не обновлялся и не тестировался, но это явно мало. Весь риск использования плагинов остается на усмотрении пользователя.

Именно, по этому, в первой пятерке дополнительных плагинов WordPress, необходимо установить плагин безопасности. Проверенных плагинов безопасности не так много, они постоянно обновляются и в базовой версии бесплатны. Назову тройку+ лидеров:

Wordfence Security (https://ru.wordpress.org/plugins/wordfence/)
iThemes Security (https://ru.wordpress.org/plugins/better-wp-security/)
All In One WP Security & Firewall (https://ru.wordpress.org/plugins/all-in-one-wp-security-and-firewall/)
Hide My WordPress (https://ru.wordpress.org/plugins/hide-my-wp/)

плагины безопасности wordpress на официальном сайте

Безопасность CMS Joomla!

Joomla (https://www.joomla.org/) это не сложная, понятная в управлении, не требующая знаний программирования CMS. Свободный код и большое количество доступных настроек, несмотря на высокий уровень безопасности системы, периодически создают дырки безопасности.

Команда безопасности Joomla, по некоторым данным насчитывает 12-13 человек. Политика Joomla направлена на активное взаимодействие с пользователями по вскрытию дыр безопасности.

Из обновлений последних лет, направленных на усиление безопасности коробочной версии, можно перечислить:

Появление двухфакторной аутентификации;
Периодические обновления релизов безопасности.

Что вполне достаточно, для защиты сайта от взлома без установки дополнительных расширений.

плагины безопасности Joomla на официальном сайте

Безопасность CMS Drupal

Из большой тройки популярных CMS, Drupal считается наиболее безопасной. Почему? Потому, что рассчитана данная CMS, на опытных пользователей.

Сообщество Drupal очень серьезно относится к безопасности и имеет специальную группу из 40 добровольцев, которые работают на улучшение и поддержку безопасности Drupal.

Именно по этому, на Drupal вы можете встретить сайты государственных учреждений и закрытых корпораций. С другой стороны, именно поэтому, Drupal самая сложная в освоении и управлении система из большой тройки.

Статистика безопасности CMS большой тройки

Ни одна коробочная версия популярных CMS, ни дает 100% гарантии от взлома. Ломают всё и ломают часто, если не предпринять дополнительных мер безопасности.

По практике скажу, что у меня ломали чаще WordPress. Чаще всего ломают со стороны устанавливаемых плагинов и тем (шаблонов) сторонних разработчиков. Ломают сайт для установки своих рекламных кодов, воровства контента, накрутки своих трафиков. Попытки взлома, спам регистрация, то есть предвестники взлома, на WordPress не прекращаются никогда. Без плагинов безопасности, которые не только защищают сайт, но и проверяю его на чужие коды, было бы совсем худо.

Попыток взлома Joomla сайтов существенно меньше.

Чаще всего ломают не обновляемые системы. Технология здесь проста. Выход нового релиза безопасности сопровождается сообщением, где обнаружена уязвимость. Если вы не обновились, вас по этой дыре и ломают.

На фото ниже вы видите:

Карту, где чаще всего ломают сайты.

карта кибер опасности взломов сайтов

Количество взломанных сайтов по системам за 2016 год.

Безопасность CMS статистика взломов

Несколько основных правил безопасности для CMS

Остановимся на основных правилах безопасности сайтов. Чтобы CMS вашего сайта не взломали, нужно соблюдать следующие правила:

Используйте только сложные пароли для входа в административную панель;
Следите за обновлением CMS и сразу обновляйте систему;
Прячьте от посетителей, версию и тип своей CMS;
Используйте расширения для CMS только из официальных источников;
Не давайте не проверенным пользователям доступы в административную панель и базу данных;
Старайтесь проверять сторонние расширения на вирусы на сторонних сайтах безопасности, например, https://www.virustotal.com/ru/;
По FTP работайте в безопасном режиме. FTP клиент WinSCP безопаснее FilleZilla;
Если работаете с оплатой или сбором данных пользователей, перейдите на безопасный режим SSL, с поддержкой HTTPS протокола;
На WordPress обязательно установите мощный плагин безопасности (список выше), в дополнении к плагину Acismet (от спама) коробочной версии.

©Dengiinet.ru