Яндекс опубликовал статистику по наиболее распространенным CMS и уязвимостям, позволяющим размещать на взломанных сайтах вредоносный код, а также дал рекомендации по защите CMS.

По мнению специалистов Яндекса, больше всего уязвимы для злоумышленников тиражируемые CMS, так как найденные уязвимости в одной конкретной версии этой CMS представляют собой угрозу взлома всех CMS этой версии. При этом, чем более распространенной является система и чем чаще она применяется на популярных сайтах, тем больше усилий и денег злоумышленники инвестируют в поиск ее уязвимостей, в отличие от CMS собственной разработки.

Кроме того, большинство современных CMS состоят из множества модулей, и многие уязвимости связаны с плагинами, которые обычно написаны и протестированы на безопасность хуже, чем основной код системы.

Частота использования большинства версий CMS WordPress на обычных и на зараженных сайтах примерно одинакова. При этом чаще всего зараженными являются сайты, использующие WordPress 3.2.1, 3.1.3 и 2.9.2, эти же версии широко распространены на незараженных популярных сайтах. Только за август и сентябрь 2011 опубликовано 57 новых уязвимостей WordPress, причем все они находятся в дополнительных компонентах. Уязвимости присутствуют в модулях wp-forum , wp-slimstat, wordpress automatic upgrade и других. С общим обзором уязвимостей WordPress можно ознакомиться здесь.

CMS Joomla версии 1.5 также одинаково часто встречается как на обычных, так и на зараженных сайтах. Владельцам сайтов, использующих эту версию Joomla, тоже рекомендуется уделять безопасности особое внимание. С начала года было опубликовано 38 новых уязвимостей в компонентах Joomla. В частности, об уязвимости в Joomla Datsogallery 1.3.1 можно прочитать на этой странице, а детальный список уязвимостей приводится здесь.

Для того, чтобы CMS сайта невозможно было взломать, Яндекс рекомендует соблюдать следующие правила:
1. Регулярно обновлять CMS.
2. Скрывать тип и версию установленной CMS и ее плагинов, не указывать их в коде страницы. Кроме того, нужно следить за тем, чтобы сайт нельзя было обнаружить с помощью специальных поисковых запросов-«дорков», которые злоумышленники используют для поиска уязвимых CMS.
3. Не использовать контрафактные версии CMS – в некоторых случаях в них умышленно снижена степень безопасности или даже внедрены готовые backdoor’ы (пример – некоторые выпуски CMS DLE от M.I.D. с backdoor от Zloy).
4. Проверять все без исключения данные, которые пользователь может ввести на страницах сайта или напрямую передать серверным скриптам при помощи запросов. Это может потребовать самостоятельной доработки модулей CMS. Например, такая доработка фильтрации входных данных позволяет снизить уязвимость DLE Shop. Для тестирования этих проверок рекомендуется привлечь специалистов по тестированию на проникновение (penetration-тестированию).
5. Использовать минимум сторонних скриптов, модулей, расширений. В самих пакетах CMS уязвимостей обычно немного, в основном они приходятся на дополнения, причем как сторонней разработки, так и официальные.
6. Вебмастера и администраторы должны работать в безопасном окружении и выполнять правила безопасной работы в интернете (в частности, не сохранять пароли в браузере и FTP-клиенте, защищать рабочее место антивирусом и файрволлом).
7. Перед тем, как устанавливать на веб-сервер какое-либо ПО, очень полезно узнать о его уязвимостях и способах их устранения с помощью The Open Source Vulnerability Database.