Какие угрозы для интернет-магазинов таит в себе Рунет?

Каждый, кто решает создать интернет-магазин, должен понимать, что безопасность движка также важна, как и его функционал. CMS, как и любая другая подобная система, имеет свои уязвимые места, которые сложнее всего скрыть в общедоступных бесплатных движках. Не так давно интернет-сообщество обсуждало неприятную историю, в которой оказались замешаны нормально, стабильно работающие сайты, созданные на базе WordPress. В DDoS-атаке приняли участие 162 тысячи порталов, в которых по умолчанию был включен протокол вызова удаленных процедур XML-RPC. Причем это далеко не все сайты WordPress, подверженные данной уязвимости, считают в Sucuri. К тому же специалисты данной калифорнийской компании постоянно напоминают, что такие ресурсы зачастую – это интернет-магазины, которые подвержены также и вирусным атакам. Именно поэтому список небезопасных сайтов Sucuri постоянно расширяется, имея в своем числе уже 2% всемирно популярных порталов.

В конце прошлого года сервис SiteSecure заинтересовался безопасностью Рунета, нарушение которой специалисты компании посчитали главной угрозой для интернет-бизнеса СНГ. Во время проведения проекта, названного Ruward, cайты проверялись на наличие уязвимостей, заражений вирусами, а также упоминания в «черных» списках с октября 2013 по январь 2014 года. С целью обеспечения репрезентативности исследования, были выбраны 30 тысяч сайтов, в том числе и интернет-магазинов, созданных с помощью различных CMS (DataLife, Joomla, Amiro, WordPress, SiteEdite и многие другие). Конечно, такое количество ресурсов не охватывает весь Рунет, но результаты анализа вполне могут претендовать на объективность и будут полезны тем, кто собирается создать интернет-магазин или же корпоративный сайт.

В рамках проекта Ruward были проанализированы следующие характеристики сайтов:

• используемая версия CMS; 
• заражение вирусами; 
• присутствие в блек-листах Google, Yandex и прочих. 

Ранее, в 2011 году, подобное исследование проводил Yandex (были проанализированы 10 тысяч зараженных сайтов), по результатам которого можно смело утверждать: чем доступнее CMS, тем более очевидны изъяны ее модулей. Так, почти 50% зараженных сайтов использовали DLE, пятая часть – WordPress и столько же небезопасных ресурсов (19%) оказалось среди разработанных на Joomla. Тогда же Яндекс опубликовал несколько рекомендаций, которые теоретически могут помочь сделать движок более безопасным. Среди прочего специалисты компании рекомендуют тем, кто собирается создать интернет-магазин или другой сайт, по возможности скрывать версию и тип используемой CMS и ее плагинов (прежде всего, не указывать подобные данные в коде страницы). Кроме того, следует минимизировать количество сторонних модулей, скриптов и расширений, а также внимательно проверять данные, вносимые пользователем и информацию, которую он может при помощи запросов передать непосредственно серверным скриптам.

Проведенный спустя три года анализ Ruward показал, что многие разработчики прислушались к советам Яндекс. Так, востребованная CMS для создания интернет-магазинов Joomla улучшила свои показатели по количеству исправленных уязвимостей модулей, хотя до сих пор остается в списке наименее безопасных движков (ее доля среди исследуемых зараженных ресурсов составляет более 14%).

Возвращаясь к результатам исследования Ruward, прежде всего следует отметить, что общая безопасность бесплатных CMS в среднем вчетверо ниже того же показателя коммерческих систем. То есть, если вы решили создать интернет-магазин, используя бесплатный движок, будьте готовы к тому, что риск оказаться в блек-листах или же заразиться вирусами значительно возрастает. Исследователи объясняют данную тенденцию тем, что разработчики коммерческих систем управления сайтами более мотивированы своевременно определять и устранять уязвимости, постоянно выпуская обновления.

Стоит отметить, что независимо от платности движка, на количество возможных проблем с ним часто влияет степень устаревания версии системы. Так, используя новую версию CMS для того, чтобы создать интернет-магазин, вы в несколько раз снижаете вероятность заражения ресурса. Так, сайты, использующие устаревшие версии CMS, подвергаются атакам и заражениям почти в два раза чаще, чем ресурсы со свежими вариациями движков.

Интересно, что если возможности возникновения проблем с заражением вирусами осознают все владельцы и администраторы интернет-ресурсов, то угрозу использования IP-адреса для рассылки спама недооценивают очень многие. При этом была выявлена впечатляющая тенденция – почти 15% анализируемых ресурсов (а это более 4 тысяч сайтов) оказались внесены в списки UCEPROTECT, а значит – были пойманы на спаме (при этом администраторы данных сайтов к этому не причастны). UCEPROTECT-NETWORK является сетевым проектом, нацеленным на выявление ресурсов, распространяющих спам. Блек-листы данного проекта обновляются ежедневно.

Владельцы уличенных в рассылке спама сайтов рискуют изменениями в конфигурации почтовых служб ресурса, что приводит к невозможности отравления и принятия почты, а, соответственно, может существенно повлиять на качество коммуникации с клиентами (особенно, когда речь идет об интернет-магазинах). Таким образом, находящиеся в черных списках коммерческие сайты часто несут значительные финансовые потери, что является прямым результатом использования небезопасных версий CMS.