Навіщо захищати панель адміністратора

+7 (495) 799-19-50

Навіщо захищати панель адміністратора від злому в wordpress, joomla, drupal, bitrix та інших cms

Панель адміністратора - це командний центр сайту, через який можна отримати доступ до файлової системи, бази даних, резервних копій, тобто. практично до всього сайту. Отримавши повний доступ до сайту, хакер може розмістити шкідливий код, вкрасти конфіденційні дані, контент сайту або знищити його. Тому отримання доступу до панелі адміністратора сайту є, мабуть, пріоритетним в атаці хакера.

Власники сайту зазвичай не здогадуються про те, наскільки вразлива панель адміністратора, і наскільки легко хакер може отримати доступ до неї.

Перерахуємо найбільш популярні варіанти злому панелі адміністратора та способу захисту від них:

  1. Підбір пароля
  2. Крадіжка пароля
  3. Підняття прав користувача до рівня адміністратора
  4. Додавання нового адміністратора безпосередньо до бази даних

Підбір пароля

Пароль вибирають автоматизованими засобами. Існують цілі комплекси для перебору пароля, продуктивність яких має сотні тисяч комбінацій на секунду. Перебір здійснюється за словником, у якому мільйони паролів. Цей процес називається «брутфорс». Якщо пароль на панель адміністратора "hello1234" або "qwe123", він буде підібраний за кілька секунд. Підбір пароля популярний на всіх популярних системах керування контентом: wordpress, joomla, bitrix, drupal та ін.

Від підбору пароля захищають такі варіанти:

Крадіжка пароля

Другим способом отримання доступу до панелі адміністратора є крадіжка пароля. Тут варіантів дуже багато:

  1. Отримання даних адміністратора через вразливість(SQL ін'єкцію) на сайті
  2. Зараження комп'ютера адміністратора сайту трояном, який краде паролі зі сховища паролів браузера
  3. Наявність трояна-кейлоггера на комп'ютері адміністратора сайту, який відсилає хакеру паролі, що вводяться користувачем.
  4. Наявність трояна, який краде паролі від FTP, а через FTP доступ хакер отримує доступ до сайту і далі, за потреби, до панелі адміністратора.
  5. Крадіжка cookie браузера зі збереженим хеш пароля, який потім розшифровується методом перебору за словником
  6. Використання фішинг-схем, коли адміністратору надходять листа нібито з його сайту (наприклад, повідомлення про необхідність змінити пароль), з посиланням на підставну панель. Не підозрюючи підставу, адміністратор вводить поточні логін та пароль, і ці дані надсилаються хакеру
  7. Отримання дампа бази даних із паролем або хешом пароля адміністратора

Від крадіжки пароля захищають такі варіанти:

  1. Наявність комерційного антивірусного програмного забезпечення та регулярне повне сканування операційної системи
  2. Грамотна робота з даними від сайту: не зберігати паролі у програмах (браузері, ftp клієнті)
  3. Регулярне оновлення CMS, увага до питань безпеки сайту, наявності вразливостей
  4. Уважність та обізнаність адміністратора

Підняття прав користувача до рівня адміністратора

Захиститись від цього досить просто:

  1. Слідкувати за оновленнями CMS та регулярно їх встановлювати
  2. Вести грамотну політику користувача. Наприклад, якщо на сайті немає реєстрації користувачів, відразу відключити її на панелі адміністратора, т.к. відсутність посилання в частині користувача сайту ще не означає, що реєстрація не можлива.
  3. Недавати зайвих прав тим користувачам групам, яким вони за діяльністю не потрібні.

Додавання нового адміністратора безпосередньо до бази даних

Цей спосіб злому технічно реалізувати досить просто. Хакер отримує доступ до бази даних сайту та додає до неї нового користувача з правами адміністратора. Існують такі варіанти отримання доступу хакера до бази даних:

  1. Через вразливість сайту (SQL ін'єкцію або RFI)
  2. Підключення до бази даних із сусіднього сайту, розміщеного на тому ж shared-хостингу (для цього достатньо дізнатися дані для підключення до БД, наприклад, wp-config.php або configuration.php).

Захиститись від додавання нового адміністратора до бази даних можна такими способами:

  1. Заборонити читання файлу з даними для підключення до бази даних всім, крім власника
  2. Змінити стандартні імена таблиць бази даних
  3. Встановити оновлення, що закривають уразливості CMS

Надійний захист

Як ви можете бачити, існує безліч способів отримання доступу до панелі адміністратора та захисту від них. Тим не менш, є один дієвий метод, який дозволяє в більшості випадків захистити панель адміністратора, не вдаючись до складних операцій.

Незважаючи на простий і доступний спосіб захисту панелі адміністратора, не варто ігнорувати решту, описану вище. Пам'ятайте, що лише комплексний захист є ефективним.

Ви завжди можете звернутися до спеціалістів з питань безпеки вашого сайту.