Сравнение CMS по данным Яндекса

Самым популярным програмным обеспечением для создания сайтов являются различные CMS системы. Больше половины сайтов в интернете сделаны именно на основе систем управления сайтами (контентом). Около 15% сайтов созданы только на html или с применением небольших скриптов и все остальные написаны индивидуально программистами. Причем более половины таких сайтов созданы приемущественно на основе различных фреймворков.

Такая тенденция объясняется впервую очередь экономическими показателями. Создание сайта на уже готовом програмном обеспечении во много раз сокращает расходы и время разработки. Но интересно то, что самые знаменитые ресурсы, с самой высокой аудиторией, становятся проекты, которые были написаны индивидуально. Хотя среди проектов созданых на базах различных популярных решений тоже найдется немало "знаменитостей".

Недавно компания Яндекс опубликовала сравнительный анализ проведенного иследования касательно различных платформ управления контентом. Особое внимание в этот ряз российский лидер поиска уделил обратной стороне медали по сокращению затрат на производство - безопастности. По данным Яндекса 3 самые популярные ЦМС это Wordpress, Joomla и Typo 3 за ними идут Weebly, DonNetDuke, Concrete5, Plone, phpBB, SquareSpace и все прочие CMS. А самыми уязвимыми CMS по мнению того же Яндекса оказались DLE, Joomla и Wordpress.

По мнению ползователей использующих DataLifeEngine такое число пострадавших среди вебмастеров связано впервую очередь со сторонними плагинами (не от разработчиков платформы) используемые на этих сайтах. А вторая причина в невнимательности самих вебмастеров.

Но если сравнить между собой оба графика, то становится очевидным, что цели для своих атак хакеры выбирают не только по принципу популярности платфомы, но и по её незашещенности. Потому как доля участия в обоих графиках кординально отличается среди платформ. Если определенным образом подсчитать результаты обоих графиков в сравнении, то это может помочь сделать выбор при поиске решений для создания сайта.

Несколько советов по защите ваших CMS

1. Регулярно обновляйте CMS.
2. Скрывайте тип и версию установленной CMS и её плагинов, не указывайте их в коде страницы. Кроме того, нужно следить за тем, чтобы сайт нельзя было обнаружить с помощью специальных поисковых запросов-«дорков», которые злоумышленники используют для поиска уязвимых CMS.
3. Не используйте контрафактные версии CMS – в некоторых случаях в них умышленно снижена степень безопасности или даже внедрены готовые backdoor’ы (пример – некоторые выпуски CMS DLE от M.I.D. с backdoor от Zloy).
4. Проверяйте все без исключения данные, которые пользователь может ввести на страницах сайта или напрямую передать серверным скриптам при помощи запросов. Это может потребовать самостоятельной доработки модулей CMS. Например, такая доработка фильтрации входных данных позволяет снизить уязвимость DLE Shop. Для тестирования  этих проверок рекомендуем привлечь специалистов по тестированию на проникновение
5. Использовать минимум сторонних скриптов, модулей, расширений. В самих пакетах CMS уязвимостей обычно немного, в основном они приходятся на дополнения, причём как сторонней разработки, так и официальные.
6. Вебмастера и администраторы должны работать в безопасном окружении и выполнять правила безопасной работы в интернете (в частности, не сохранять пароли в браузере и FTP-клиенте, защищать рабочее место антивирусом и файрволлом).