Повышение уровня безопасности CMS Joomla с использованием нестандартных компонентов
Севастьянов В.В.,
АНО ВПО «Межрегиональный открытый социальный институт»,
г. Йошкар-Ола
В современном мире интернет пространство стало неотъемлемой частью нашего общества. Количество разнообразных web сервисов, порталов и других клиент-серверных приложений с каждым годом растет, совершенствуются системы администрирования и представления информации. В связи с чем, использование CMS для создания web-сайтов вошло в стандарт сайтостроения нашего времени. Их используют для удовлетворении своих потребностей в публикации информации в сети как физические, так и юридические лица. И именно от совершенства безопасности этих систем зависит имидж компаний и публичных лиц, финансовые потери или доходы при переводе электронных средств, безопасность персональных данных пользователей и другие важные составляющие современной информационной среды сети интернет. CMS существуют как бесплатные, так и коммерческие. В 2011 году на сайте «Рейтинг Рунета» был составлен рейтинг самых распространенных CMS (Content Management System) для платных и бесплатных систем (open-source):
CMS | Проектов | Балл |
1С-Битрикс | 5 743 | 53.19 |
NetCat | 1 928 | 13.59 |
UMI.CMS | 3 430 | 9.46 |
HostCMS | 1 069 | 5.95 |
AMIRO.CMS | 1 006 | 3.83 |
CMS | Проектов | Балл |
Joomla! | 3 514 | 37.97 |
Drupal | 1 226 | 25.03 |
MODx CMS / CMF | 1 530 | 17.77 |
WordPress | 968 | 13.74 |
TYPO3 | 182 | 4.00 |
В рамках деятольности лаборатории сетевой безопасности, кафедры математики информатики и информационной безопасности АНО ВПО МОСИ. Были проведены исследования.
Для анализа безопасности была выбрана система Joomla версии 1.7, так как данная CMS является наиболее популярной среди бесплатных, ибеет большое количество сторонних модулей, по сравнению с версией 1.5 является менее требовательной к ресурсам, а так же в ней реализован более совершенный механизм распределения прав между пользователями. Одновременно система имеет большое количество модулей, компонентов и плагинов, которые обеспечивают выполнение множества задач, в том числе и по защите самой системы от несанкционированного доступа, SQL инъекций, и повреждения базы данных и файлов системы.
В течении года в сети анализировались атаки, происходящие на группу сайтов состоящую из 5 интернет ресурсов с посещаемостью 300-400 уникальных посетителей в сутки. В результате анализа лог-файлов было выявлено, что около 67% атак на интернет ресурсы занимают атаки роботов которые пытаются получить доступ к административной части интернет ресурса, с целью размещения нежелательной информации на страницах сайта, кражи персональных данных пользователей, или каких либо других данных связанных с коммерческой деятельностью сайта, 32% атак также происходят с помощью роботов, но направлены на внесении информации в формы с последующей их отправкой либо на динамические станицы (в случае наличия незащищенной гостевой книги, форума или формы обратной связи) для размещения текстов и ссылочной рекламы с целью поднятия показателей и увеличения посещаемости своих сайтов. Менее 1% атак являются SQL инъекциями, с помощью которых вносят рекламную, компрометирующую и дестабилизирующую работу сайта информацию в базу данных. При этом за тестовый период было выявлено 100000 атак. Немаловажное значение имеет тот факт, что более 99% атак были циклические и происходили с идентичных ip адресов с общим количеством атак от 4 до 1504 с одного ip адреса. Исходя из этого можно сделать вывод, что атаки осуществляли программы-роботы, использующие циклические алгоритмы вторжения.
По странам мира атаки распределились следущим образом: 63% Россия, 21% США, 5% Китай, 11% другие страны с рейтингом менее 1-ого процента. Атакующие из России наиболее часто пользуются 3G модемами, зарегистрированными в Санкт Петербурге и Москве.
Для нейтрализации угроз и мониторинга систем безопасности в рамках проведения исследований, на тестовые интернет ресурсы были установлены следущие системы безопасности:
jSecure Authentication v 2.1.10 Компонент- защиты доступа к административной части Joomla сайтов. Данное расширение блокирует доступ к админ панели сайта если пользователь не знает соответствующий ключ доступа. Для этого в настройках компонента указывается секретное слово, после чего путь к админ панели сайта изменяея и для входа в административный режим нужно указать кодовое слово в конце ссылки (site.com/administrator/?test). Если кодового слова нет, происходит перенаправление на главную страницу сайта. Кроме того данный компонент обладает другими возможностями:
- Уведомление администратора по электронной почте при попытке получения доступа к админ панели сайта;
- Блокировка потенциально опасных IP-адресов, которые уже пытались получить доступ к админипанели;
- Мастер-пароль для доступа к настройкам компонента jSecure в административной части сайта;
- Управление белыми и черными списками IP-адресов;
- Ведение журнала всех событий, происходящих в админпанели;
Akeeba Backup Professional V.3 - популярный компонент создания резервных копий сайтов, работающих под управлением СMS Joomla 1.5, 1.7 и 2.5. Кроме того в компаненте имеется поддержка удаленного хранения резервных копий для экономии дискового пространства, удобный фильтр для исключения файлов не требующих архивации, настройка оповещений на почту, DropBox - облачное хранилище файлов, настройка перезаписи резервных копий, возможность копирования отдельных баз и создание защищенных архивов, исключающих кражу информации.
RSFirewall! v1.4.0 rev43 -RSFirewall! разрабатывается командой опытных экспертов, которые отслеживают последние известные уязвимости и обновления безопасности для CMS joomla, в результате, появился компонент являющийся оптимальным выбором для защиты сайта от sql инъекции, защиты сервера от различных атак, проверки файлов на сервере на наличие изменений.
ChronoForms - компонент для создания различных форм на сайте. Данный компонет обладает очень гибкими настройками а также имеет визуальную ситему создания форм, встроенную антиспам защиту на основе плагина kapchaimage, систему фильтрации содержимого форм по установленным правилам провеоки контента на тип и формат вводимых данных.
В течении шести месяцев после установки анализировалось лог файлы сервера и системы Joomla на выявление атак. В результате за контрольное время было зафиксировано, что общее количество вторжений сократилось на 99%. Зафиксированные атаки происходили с различных ip адресов, и при этом повторений атак не происходило. На наш взгляд это связанно с тем, что роботы используют стандартные алгоритмы взлома, инъекций и спама, которые применимы только к стандартным конфигурациям CMS Joomla. После установки ChronoForms при отправке информации из форм возможность пересылки некорректных данных была ликвидирована, кроме того системы Capcha Image требует ввода контрольного слова выведенного на изображении формата jpg, распознавание которого с помощью специальных алгоритмов очень проблематично и возможно только при участии человека. Возможности использования роботами SQL инъекций было заблокировано компонентом RSFirewall! v1.4.0 rev43, что свело количество атак с изменением баз данных через некорректные данные введнные в адресную строку к нулю. Система jSecure Authentication v 2.1.10 изменив адрес доступа к административной части заблокировала возможность получения доступа к формам, используемым для введения логина и пароля администратора. Хак-роботы пытаясь открыть страницу http://mysite/administrator, автоматически переадресовывались на главную страницу сайта и последующих попыток захода с тех же ip не было.
Одновременно была протестирована система Akeeba Backup Professional V.3, которая может создавать копию сайта, включающую как файлы CMS, так и файл БД MySQL, запаковать их в архив, и в случае необходимости развернуть копию на старом или новом хостинг-сервере. Данный компонент был выбран, так как наличие копии работоспособной версии CMS и ее БД заметно облегчает ее восстановление после результативной хакерской атаки или сбоев аппаратного или программного обеспечения сервера. Для развертывания копии сайта компонент формирует специальный инсталляционный каталог, и процесс развертывания бекапа имеет удобный визуальный интерфейс, что существенно сокращает время настройки развернутого интернет ресурса. С помощью компонента все тестируемые CMS и БД были перенесены на резервный сервер в виде автоматически сформированных zip архивов, установка и настройка сайтов на новом сервере не вызвала существенных затруднений.
Как результат проведенных исследований можно сделать вывод, что использование компонентов безопасности CMS Joomla, протестированных в нашей лаборатории значительно повышает уровень защищенности сайта и их совместная работа может использоваться как эффективная комплексная система безопасности для сайтов на базе этой CMS.
Библиографический список
- http://www.ratingruneta.ru/cms/2011 Рейтинг CMS, популярные движки для сайтов. Рейтинг лучших платных и бесплатных CMS.