Защита админ панели – ключевая задача для обеспечения
безопасности сайта
Административная панель позволяет получить доступ к базе данных сайта, файловой системе, резервным копиям, размещенному на сайте контенту и конфиденциальным данным. Именно поэтому хакеры проявляют столь высокий интерес к ее взлому – это возможность разместить вредоносный код на сайте, украсть или уничтожить контент, а также незаконно получить требуемую информацию. Владельцы сайтов, соответственно, вынуждены уделить особое внимание защите админ панели, как базовой задаче при обеспечении безопасности сайта.
На самом деле административная панель в популярных cms (joomla, dle, wordpress и др.) достаточно уязвима, и квалифицированный взломщик без труда может получить к ней доступа при условии, что она должным образом не защищена. Самые популярные методы взлома: подбор и воровство пароля, добавление в базу данных нового администратора, а также предоставление пользователю прав администратора.
Рассмотрим способы взлома подробнее:
Кража или подбор пароля
Подбор пароля производится при помощи специальных программ, а сам процесс при этом носит название «брутфорс» – от английского словосочетания «brute force», что переводится как «полный перебор». Возможности этого метода достаточно впечатляющи – за одну минуту перебирается сотни тысяч комбинаций, поэтому простой пароль, состоящий только из цифр, будет взломан буквально через несколько секунд. Также возможен перебор по базе самых распространенных паролей – стандартные словосочетания типа «qwerty» или «hello» будут подобраны за считанные секунды.
Защита админ панели от перебора пароля может быть следующая:
- Ограничение количества попыток неправильного ввода пароля путем установки специального плагина. При этом блокируется доступ к административной панели с IP-адреса, с которого производилась попытка входа, а администратор получает извещение о попытке подбора пароля на e-mail.
- Ограничение доступа к админ панели по IP-адресу или кодовому слову.
- Установка сложного пароля, содержащего буквы разного регистра, а также цифры и символы. При этом набор букв должен быть абсолютно случайным на любой раскладке клавиатуры. Например – «HrtU1%2kEP@d».
Что касается воровства паролей – здесь злоумышленники проявляют еще больше изобретательности.
Для кражи паролей используются трояны – программы, ворующие и отсылающие пароли на определенный адрес. Троянами может быть заражен компьютер администратора – при этом пароли изымаются из браузера, если они там сохранены, или «снимаются» так называемыми троянами-кейлоггерами при наборе с клавиатуры.
Применяются фишинг-схемы – администратору любым способом (например, по почте) подсовывается ссылка на страницу, которая по внешнему виду идентична или очень похожа на админ панель или страницу входа вашего почтового ящика. Администратор вводит пароль в форму, после чего он отсылается хакеру.
Также для изъятия пароля могут использоваться cookie браузера или дамп базы данных с сохраненным хешем пароля.
Защита админ панели от воровства пароля производится следующими методами:
- Использование коммерческого пакета программного антивирусного обеспечения.
- Обновляемая CMS.
- Осторожность при хранении паролей – не следует использовать для этого браузер, также стоит воздержаться от их хранения на жестком диске в текстовом файле и ftp клиентах.
Манипуляции с правами администратора
На сегодняшний день многие CMS позволяют устанавливать несколько уровней доступа пользователей к данным – от обычного пользователя до модератора, супермодератора, админа и суперадмина. Но на устаревших CMS существует вероятность использования хакерами уязвимостей, которые при определенных условиях способны дать обычному пользователю права администратора.
Обеспечение безопасности сайта в этом случае элементарно – требуется регулярно обновлять CMS и следить за предоставлением прав различным группам пользователей.
Еще один способ взломать админ панель – при получении доступа к базе данных сайта злоумышленник может добавить в нее нового пользователя, наделенного правами администратора. Подключение к базе возможно с сайта, который размещен на том же shared-хостинге путем использования данных из конфигурационных файлов сайта.
В этом случае защита админ панели заключается в запрете чтения конфигурационных файлов всем, кроме владельца, а также изменение используемых по умолчанию префиксов таблиц базы данных.
Наиболее надежным и действенным способом для обеспечения безопасности сайта и защиты админ панели от взлома считается ограничение доступа по IP, кодовому слову и двойной аутентификации. При этом войти в панель администратора может пользователь с IP-адреса, который находится в определенном диапазоне, и знающий дополнительный пароль. Однако пренебрегать остальными советами совсем не стоит – лучше всего показывает себя комплексная защита админ панели. Если вы все же не уверены в своих знаниях, обеспечение безопасности сайта лучше доверить специалистам.
В компании «Вирус Детект» вы можете заказать защиту сайта от взлома с последующей гарантией на 1 год. Опытные специалисты в течение 24 часов просканируют ваш сайт на предмет наличия вредоносного кода и уязвимостей, в случае необходимости произведут чистку сайта от вирусов и примут комплексные меры для защиты вашего сайта от несанкционированного доступа.