हाय, हेब्र!
साइटसेक्योर सेवा के साथ
, हमने विभिन्न सीएमएस सिस्टम पर विकसित
साइटों की सुरक्षा का व्यापक अध्ययन किया, जिसके परिणामस्वरूप हमने दिलचस्प परिणाम प्राप्त किए।
मुक्त और वाणिज्यिक सीएमएस पर वेबसाइट सुरक्षा की तुलना
अध्ययन के परिणामों के अनुसार, मुफ्त सीएमएस का उपयोग करने वाली साइटें व्यावसायिक एमएमएस की साइटों की तुलना में संक्रमित और ब्लैकलिस्ट होने की औसतन चार गुना अधिक होती हैं।
लेकिन मुफ्त सीएमएस के लिए, सुरक्षा स्थिति बहुत अलग है। उदाहरण के लिए, डटलिफ इंजन पर प्रत्येक बीसवीं साइट को ब्लैकलिस्ट किया गया है। इसी समय, CMS TYPO3 पर साइटों के बीच कोई संक्रमित साइट नहीं मिली। हम इसे इस तथ्य से जोड़ते हैं कि TYPO3 विकास टीम अपने CMS की सुरक्षा में सुधार करने के लिए महत्वपूर्ण ध्यान देती है। विशेष रूप से, अकेले सितंबर में, TYPO3 वेबसाइट पर 9 नई कमजोरियां प्रकाशित की गईं, जिनमें सीएमएस कोर में एक मध्यम खतरा श्रेणी और तीसरे पक्ष के मॉड्यूल में 8 महत्वपूर्ण हैं। रनेट में सबसे आम वाणिज्यिक सीएमएस के बीच, हम एक स्पष्ट नेता का पता लगाने में असमर्थ थे - वे सभी समस्याओं के साथ लगभग समान साइटें थीं।
अनुसंधान पद्धति
अध्ययन के लिए, विभिन्न सीएमएस पर बनाए गए आरयू डोमेन में 30,000 सक्रिय साइटों को बेतरतीब ढंग से चुना गया था। सीएमएस प्रकारों की पहचान करने वाली साइटों का चयन
iTrack द्वारा प्रदान किया गया था।
साइटसेक्योर तकनीकी उपकरणों के साथ प्रतिक्रिया देने वाली साइटों को स्कैन करके अक्टूबर 2013 और जनवरी 2014 के बीच अध्ययन किया गया था। अध्ययन के भाग के रूप में, निम्नलिखित साइट विशेषताओं का विश्लेषण किया गया था:
- सीएमएस और वेब सर्वर संस्करण;
- साइट पर वायरस की उपस्थिति;
- Google और यैंडेक्स की काली सूची में साइट की उपस्थिति;
- Phishtank, DNSRBL, UCE PROTECT और अन्य की काली सूचियों में साइट की उपस्थिति;
- साइट पर सीएमएस संस्करण और समस्याओं की उपस्थिति के बीच संबंध।
अद्यतित सीएमएस संस्करण का उपयोग करना
सीएमएस के नवीनतम संस्करणों के उपयोग और साइटों पर समस्याओं की उपस्थिति के बीच एक ध्यान देने योग्य सहसंबंध है, दोनों वाणिज्यिक और मुक्त सीएमएस के बीच। सीएमएस के समय पर अपडेट किए गए संस्करण औसतन समस्याओं के जोखिम को आधे से कम कर देते हैं। नवीनतम संस्करणों में अपग्रेड करने का सबसे स्पष्ट लाभ जूमला और वर्डप्रेस में देखा गया है।
केवल 3% Joomla साइटों ने नवीनतम Joomla संस्करण का उपयोग किया, और 15% ने नवीनतम WordPress संस्करण का उपयोग किया। इसी समय, जूमला पर समस्याग्रस्त साइटों का अनुपात वर्डप्रेस की तुलना में तीन गुना अधिक है। जाहिर है, सीएमएस संस्करण को समय पर अद्यतन करने से साइट सुरक्षा में सुधार होता है।
अध्ययन के लेखकों की परिकल्पना में से एक यह है कि वाणिज्यिक सीएमएस पर साइटों को अक्सर पेशेवर डेवलपर्स द्वारा विकसित किया जाता है जो समय पर अपडेट की निगरानी करते हैं, जिससे मुफ्त समाधानों का उपयोग करके संक्रमित परियोजनाओं का एक बड़ा हिस्सा होता है।
कोई वेब सर्वर प्रकार प्रभाव नहीं
वेब सर्वरों के प्रकारों द्वारा समस्या साइटों का वितरण आमतौर पर वेब सर्वरों की लोकप्रियता रेटिंग के साथ मेल खाता है, और इसलिए यह कहा जा सकता है कि किसी विशेष वेब सर्वर का संस्करण साइट सुरक्षा के लिए एक निर्णायक कारक नहीं है।
खोज इंजन ब्लैकलिस्ट की तुलना करना
यांडेक्स ने Google को दो बार साइटों को ब्लैक लिस्ट किया है। इसी समय, Google और यांडेक्स सूचियों का प्रतिच्छेदन, ब्लैकलिस्ट की गई साइटों की कुल संख्या का केवल 10% है।
निष्कर्ष: वेबमास्टर्स, एसईओ-ऑप्टिमाइज़र और अन्य विशेषज्ञ जो वेबसाइट संवर्धन के लिए जिम्मेदार हैं, दोनों खोज इंजनों की काली सूची में साइट की उपस्थिति की निगरानी करना सुनिश्चित करें।
वेबसाइट के मालिकों को समस्याओं के बारे में पता है
बाजार की प्रमुख समस्याओं में से एक उभरते खतरों के बारे में वेबसाइट मालिकों की कम जागरूकता है।
अध्ययन पूरा होने के बाद, लगभग 130 साइटों के मालिकों से संपर्क करने का प्रयास किया गया जो वायरस से संक्रमित थे या जिन्हें खोज इंजन द्वारा ब्लैकलिस्ट किया गया था। आधे से अधिक मालिक जिनकी साइटें उत्पाद या सेवा को बढ़ावा देने के लिए सक्रिय रूप से उपयोग की जाती हैं, उन्हें अपनी साइटों के साथ समस्याओं के बारे में पता नहीं था। इसी समय, उनमें से एक तिहाई ने साइट को बनाए रखने या बढ़ावा देने के लिए पैसा खर्च करना जारी रखा।
आइसबर्ग पानी के नीचे
अध्ययन के पहले भाग के अलावा, हमने उस आईपी पते से स्पैम के आधार पर काली सूची में डालने के लिए सभी 30,000 वाणिज्यिक साइटों की जाँच की, जिस पर साइट स्थित है। हम उस समस्या के पैमाने के बारे में बात करना महत्वपूर्ण मानते हैं जिसे हमने खोजा है। सभी जांचे गए साइटों में से लगभग 15% UCE PROTECT सूचियों में से एक पर हैं, अर्थात, वे सीधे स्पैमिंग या उन साइटों के आसपास के क्षेत्र में शामिल हैं जो स्पैम भेजते हैं। उसी समय, 70% साइटें एक ही सबनेट पर हैं, और 28% समान आईपी पते पर हैं जो स्पैम करते हैं।
साइट के मालिकों के लिए इसका क्या मतलब है। सबसे पहले, ये छिपी हुई समस्याएं हैं जिन्हें ब्लैक लिस्ट पर प्रत्यक्ष जांच के बिना निदान नहीं किया जा सकता है। इन समस्याओं का परिणाम, साइट की मेल सेवाओं के कॉन्फ़िगरेशन के आधार पर, आउटगोइंग मेल को वितरित करने की पूर्ण या आंशिक अक्षमता, ग्राहकों को मेलिंग पत्र, साथ ही साइट पर संभावित ग्राहकों द्वारा छोड़े गए अनुप्रयोगों के आधार पर हो सकता है।
डोमेन मेल के लिए, प्रदाता के समर्पित मेल सर्वर अधिक बार उपयोग किए जाते हैं, और यहां प्रदाता स्वयं समस्या के समाधान की निगरानी करता है। लेकिन स्वचालित विपणन पत्र और सूचनाएं, साथ ही साथ ग्राहक अनुरोध भेजना, अन्य आईपी के माध्यम से उसी आईपी पते से किया जा सकता है जिस पर साइट स्थित है, और इसमें अक्सर वितरण की सफलता को सत्यापित करने का साधन नहीं होता है। जिन 15% साइटों की हमने जाँच की, उनका अर्थ है अकुशल कार्य या विपणन गतिविधि को रोकना और संभावित ग्राहकों से अनुरोध प्राप्त करना, अर्थात व्यवसाय के लिए प्रत्यक्ष नुकसान।
- अध्ययन में भाग लेने वाले 4,500 साइटों के मालिकों को साइट पर समस्याओं के कारण वित्तीय नुकसान का खतरा है। यह लगभग हर सातवीं साइट है।
अंत में, यह कहने योग्य है कि वेबसाइट डेवलपर्स (वेब स्टूडियो और एजेंसियां) अक्सर सुरक्षा मुद्दों का पालन नहीं करते हैं, सीएमएस / फ्रेमवर्क में अंतर्निहित टूल की विश्वसनीयता की उम्मीद करते हैं। यदि किसी भी प्रकार की समस्या होती है, तो क्लाइंट, डेवलपर को दोषी ठहराता है। इसलिए,
साइटसेक्योर जैसी साइटों की निगरानी और सुरक्षा के लिए ऑनलाइन सेवाओं का उपयोग समस्या क्षेत्र को बंद कर सकता है और ग्राहक के साथ टकराव से बच सकता है।