Уязвимости и их устранение. Защита от разных способов взлома.

Каждый второй русифицированный шаблон для WordPress — дырявый

Александр » 23 авг 2014, 22:22

Никогда нельзя скачивать и устанавливать шаблоны и расширения с неофициальных сайтов производителя, досконально не проверив их код. Даже с сайтов-агрегаторов, где выставляются платные шаблоны и расширения разных производителей. Я об этом уже писал в посте viewtopic.php?f=17&t=9.
На сайте Securitylab.ru появилась свежая статья об исследовании шаблонов для CMS WordPress.
http://www.securitylab.ru/analytics/456835.php
Т. е. в 50% предлагаемых к скачиванию шаблонов содержится Бэкдор
Но это все относится и к другим системам управления контентом: Joomla, Drupal, DLE, MODX, Bitrix и т. п. Просто никто еще не анализировал статистику по ним, но, очевидно, что там ситуация будет не лучше.
Для примера, вот список уязвимых расширений для Joomla, и это только проверялись официальные релизы с сайтов производителей расширений.
http://vel.joomla.org/live-vel
Что здесь говорить о неофициальных распространителях расширений и шаблонов.. Могу только сказать, что если вы скачиваете расширение или шаблон с неофициального сайта разработчика, то вероятность, что внутри будет вредоносный код, стремится к 100%!
Что еще хочется добавить к этому.
Например, я в своей работе на данном этапе (август 2014) использую Joomla 1.5.20, компоненты и модули для неё, т. к. эта версия уже обкатана, я закрыл в ней все известные уязвимости, и я могу на 99.9% рассчитывать, что её не взломают. Самое главное, что и расширения (компоненты, модули) тоже уже обкатаны на протяжении 5 лет.

Конечно здорово, что за относительно короткий период уже появились версии Joomla 1.6, 1.7 (поддержка закончена), 2.5 (поддержка до 2014-12-31), 3.0, 3.1, 3.2 (поддержка закончена).
Готовится к выходу 3.4, которая, может быть будет (Long Term Support (LTS)), а может быть и нет.
И вот, спрашивается, что там с расширениями делается?? Я думаю, что всё достаточно запущено в плане безопасности, ибо за такие сроки не возможно найти и закрыть все дыры в популярных компонентах (магазины, галереи, форумы) и модулях.
Думаю, лучше дождаться выхода Joomla 3.x LTS, подождать год, пока расширения протестируют на безопасность, а потом уже пользоваться.
Александр
 
Сообщения: 261
Зарегистрирован: 20 мар 2014, 17:05

Вернуться в Безопасность