Исследователи из компании Sucuri обобщили (https://blog.sucuri.net/2019/03/hacked-website-trend-report-...) (PDF (https://sucuri.net/reports/19-sucuri-2018-hacked-report.pdf)) статистику по взломам сайтов, основанную на информации из более чем 25 тысяч обращений в службы разбора инцидентов и противодействия вредоносной активности компаний GoDaddy и Sucuri.
Наиболее интересные выводы:- 90% обращений для устранения последствий взломов были связаны с платформой WordPress, 4.6% - Magento, 4.3% - Joomla, 3.6% - Drupal. Следует отметить, что значительный перевес WordPress обусловлен популярностью данной CMS (применяется на 30% из десяти миллионов крупнейших сайтов) и специализацией Sucuri в области решения проблем с WordPress;
- На момент взлома 56% сайтов были обновлены до актуального выпуска CMS, а 44% использовали устаревшие версии. За год замечена тенденция к увеличению c 69.8% до 87.50% числа необновлённых уязвимых установок CMS Joomla. Для WordPress ситуация обратная и доля использования устаревших версий во время взлома снижается (атакуют в основном через уязвимости в плагинах и темах оформления);
- Анализ чёрных списков скомпрометированных сайтов показал, что они охватывают только 11% из общего объёма сайтов с вредоносным кодом, взломы которых разбирались в Sucuri. По размеру чёрного списка
лидируют Norton Safe Web и McAfee SiteAdvisor, которые охватывают более 40% сайтов, которые занесены в проанализированные чёрные списки;- Наиболее популярной (68%) вредоносной активностью после взлома остаётся внедрение бэкдора для получения доступа к системе. Доля вредоносной активности на взломанных сайтах, связанной с распространением вредоносного ПО, увеличилось за год с 47% до 56.4%, а связанной с размещением SEO-спама, возросла с 44% до 51.3%. Число выявленных скриптов для рассылки спама сократилось с 19% до 12.5%
- Среднее число файлов, которые приходилось чистить при удалении следов вредоносного ПО за год возросло со 168 до 292. В 34.5% случаях вредоносные изменения вносились в файлы index.php, в 13.5% в functions.php и в 10.6% в файл wp-config.php.
URL: https://blog.sucuri.net/2019/03/hacked-website-trend-report-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50255
Без наложения этих столбиков на статистику популярности представленных CMS - инфографика ВООБЩЕ ни о чем.
истинно так
ня пойму, о чем вы вообще? Эти столбики и есть статистика популярности. Неужели кто-то думает, что они отражают качество кода или еще что другое? ;-)
> Эти столбики и есть статистика популярности.Можно, конечно, быть занудой и поспорить. Но я ленивый зануда ;)
> За год замечена тенденция к увеличению c 69.8% до 87.50% числа необновлённых уязвимых установок CMS Joomla на момент взлома.Это процент необновлённых установок или процент необновлённых среди взломанных? Поясните.
это только среди взломанных
Drupal вот не самое дыpявoе рeшeтo, но как вспомню, что тема оформления и настройки были официально наполовину прибиты гвоздями к релизу, так плакать хочется. Не удивительно, что это всё потом не обновляют.
Не знаю как там с дырами, но тормозящий интерфейс фронтэнд-редактирования это да, вещь.
"служба противодействия вредоносной активности компаний GoDaddy и Sucuri" - звучит круто.
Ну, насколько я слышал, вредоносной активности GoDaddy действительно надо противодействовать. Лучше всего держась от него подальше. Что там с Sucuri я не знаю, в первый раз слышу про него.
> Ну, насколько я слышал, вредоносной активности GoDaddy действительно надо противодействовать.
> Лучше всего держась от него подальше. Что там с Sucuri я
> не знаю, в первый раз слышу про него.Этож какой активности GoDaddy? Вы про слухи, что они домены не дают выводить? По моему это все седая древность, у меня был у них домен зарегистрирован, когда я переводил никаких проблем не было.
>> Ну, насколько я слышал, вредоносной активности GoDaddy действительно надо противодействовать.
>> Лучше всего держась от него подальше. Что там с Sucuri я
>> не знаю, в первый раз слышу про него.
> Этож какой активности GoDaddy?Я сам не сталкивался, но судя по описанию это сплошной скам. Ты можешь загуглить godaddy+scam, если интересно.
Рецепт простой - обновлять движек, а не ждать пока он кончательно протухнет.
Возьмем ту же Джумлу, про которую любят писать что она небезопасна - смотрим официальную статистику, телеметрию по установкам - https://developer.joomla.org/about/stats.htmlТолько 14% имеют движек версии 3.9, все остальное - устарело, почти половина - просто древние, и это еще нет учета по версиям старее 3.5, да и еще и не везде телеметрия включена.
С PHP там еще круче, меньше 20% установок на официально поддерживаемых версиях PHP, все остальное - EOL.
ИМХО проблема не в желании, а в темах и плагинах.
Корректной работы между мажорными версиями, насколько мне известно, ни Joomla ни WP не гарантируют, а переписать плагин или тему, если это не сделал автор (а они к сожалению свои продукты часто забрасывают), корректно могут далеко не все. Как и далеко не все пишут собственную тему и используют только собственные плагины, чтобы иметь/нанимать разработчиков для поддержания совместимости всего этого с новыми версиями движка.Выход: менять/допиливать тему и подбирать другие/допиливать плагины или оставлять всё как есть. Часто получается второй вариант.
Есть ситуации совсем тяжелые. Некоторые студии разрабатывают сайты на заказ, "влезая" в код CMS. Такой сайт невозможно обновить стандартным образом, читай - без привлечения разработчика. Владельцы вынуждены постоянно платить за "поддержку" либо имеют проблемы с безопасностью.
> ИМХО проблема не в желании, а в темах и плагинах.
> Корректной работы между мажорными версиями, насколько мне известно, ни Joomla ни WP
> не гарантируют, а переписать плагин или тему, если это не сделал
> автор (а они к сожалению свои продукты часто забрасывают), корректно могут
> далеко не все. Как и далеко не все пишут собственную тему
> и используют только собственные плагины, чтобы иметь/нанимать разработчиков для поддержания
> совместимости всего этого с новыми версиями движка.
> Выход: менять/допиливать тему и подбирать другие/допиливать плагины или оставлять всё
> как есть. Часто получается второй вариант.Не совсем верно.
В пределах версии 3.Х например все коспоненты, плагины и проч будут совместимы с более поздними версиями. Другой вопрос что периодически добавляются новые API и после какого-то обновления компонент может сказать "Нет, ваша Джумла слишком старая".
С темами чуть сложнее. но только из-за того, что современные темы это жутки комбайны с фреймворками, конфигураторамии тому подобным.
При этом я напомню, что ветке 3.Х уже не один год, так что времени было достаточно.При переходе на 4.Х да, скорее всего все придется менять, если автор любымых компонентов не соизволит из доработать.
> На момент взлома 56% сайтов были обновлены до актуального выпуска CMSОбновляй, не обновляй - всё равно получишь нагоняй.
Господа эксперты, а чем сейчас принято тестировать свой сайт на дырявость? Такое ощущение, что все старые добрые сканеры skipfish/nikto/netsparker уже трупы. Чем сканить всю эту JS-феерию?
> Господа эксперты, а чем сейчас принято тестировать свой сайт на дырявость?а зачем? Используешь распространенную cms = твой сайт дыряв, можешь ничего уже не сканировать.
используешь наколеночную - он все равно дыряв, но об этом пока еще никто не знает, и может и не узнать, если только ты не представялешь собой какую-нибудь отдельную ценность для заинтересованных лиц.
> Чем сканить всю эту JS-феерию?
зачем? Вот узнал ты что в твоем дрюпале есть дыра, и тебя через нее уже дрюпают во всю. И? Сайт снесешь, уйдешь в монастырь? Сам полезешь исправлять (что мешало до, если ты такой умный, работящий и инициативный)? Апдейт накатишь (что мешало - просто накатывать, если это в принципе возможно, не дожидаясь перитонита? А если апдейт ломает сайт - возвращаемся к варианту 1)?