Защо да защитим админ панела

+7 (495) 799-19-50

Защо да защитавате админ панела от хакване в wordpress, joomla, drupal, bitrix и други cms

Административният панел е командният център на сайта, през който можете да получите достъп до файловата система, базата данни, архивите, т.е. почти целия сайт. След като получи пълен достъп до сайта, хакерът може да постави зловреден код, да открадне поверителни данни, съдържание на сайта или напълно да го унищожи. Следователно получаването на достъп до административния панел на сайта е може би най-високият приоритет при хакерска атака.

Собствениците на уебсайтове обикновено не знаят колко уязвим е административният панел и колко лесно хакерът може да получи достъп до него.

Ние изброяваме най-популярните опции за хакване на администраторския панел и как да се предпазим от тях:

  1. Отгатване на парола
  2. Кражба на парола
  3. Повишаване на потребителските права до ниво администратор
  4. Добавяне на нов администратор директно към базата данни

Отгатване на парола

Паролата се избира с автоматизирани средства. Има цели комплекси за груба сила на парола, чиято производителност е стотици хиляди комбинации в секунда. Търсенето се извършва според речника, в който има милиони пароли. Този процес се нарича "груба сила". Ако паролата за админ панела е "hello1234" или "qwe123", тя ще бъде позната след няколко секунди. Отгатването на парола е популярно във всички популярни системи за управление на съдържание: wordpress, joomla, bitrix, drupal и др.

Следните опции предпазват от отгатване на парола:

Кражба на парола

Вторият начин за достъп до админ панела е да откраднете паролата. Тук има много опции:

  1. Получаване на администраторски данни чрез уязвимост(SQL инжекция) на сайта
  2. Заразяване на компютъра на администратора на сайта с троянски кон, който краде пароли от хранилището на пароли на браузъра
  3. Наличието на троянски кейлогър на компютъра на администратора на сайта, който изпраща въведените от потребителя пароли на хакера
  4. Наличието на троянски кон, който краде пароли от FTP, като чрез FTP достъп хакерът получава достъп до сайта и по-нататък, ако е необходимо, до админ панела.
  5. Кражба на бисквитка на браузъра със съхранена хеш парола, която след това се декриптира чрез търсене в речник
  6. Използването на фишинг схеми, когато администратор получава писмо, уж от своя уебсайт (например известие за необходимостта от промяна на паролата), с връзка към предния панел. Без да знае за измама, администраторът въвежда текущото потребителско име и парола и тези данни се изпращат на хакера
  7. Получаване на дъмп на база данни с паролата или хеша на администраторската парола

Следните опции предпазват от кражба на парола:

  1. Наличие на търговски антивирусен софтуер и редовно пълно сканиране на операционната система
  2. Правилна работа с данни от сайта: не съхранявайте пароли в програми (браузър, ftp клиент)
  3. Редовно актуализиране на CMS, внимание към проблемите със сигурността на сайта, наличието на уязвимости
  4. Грижа и информираност на администратора

Повишете потребителските права до администраторско ниво

Да се ​​защитите от това е доста просто:

  1. Следете актуализациите на CMS и ги инсталирайте редовно
  2. Водете компетентна потребителска политика. Например, ако няма регистрация на потребител на сайта, незабавно го деактивирайте в админ панела, т.к. липсата на връзка в потребителската част на сайта не означава, че регистрацията не е възможна.
  3. Недават допълнителни права на онези потребителски групи, които не се нуждаят от тях поради естеството на тяхната дейност.

Добавяне на нов администратор директно към базата данни

Този метод на хакване е технически доста лесен за изпълнение. Хакерът получава достъп до базата данни на сайта и добавя нов потребител с администраторски права към нея. Има следните опции за получаване на хакерски достъп до базата данни:

  1. Чрез уязвимост на сайта (SQL инжектиране или RFI)
  2. Свързване към база данни от съседен сайт, хостван на същия споделен хостинг (за това е достатъчно да намерите данните за свързване към базата данни, например от wp-config.php или configuration.php).

Можете да се защитите от добавяне на нов администратор към базата данни по следните начини:

  1. Предотвратете четенето на файла с данни за свързване към базата данни за всички, с изключение на собственика
  2. Променете имената на таблиците на базата данни по подразбиране
  3. Инсталирайте актуализации, които коригират уязвимости в CMS

Надеждна защита

Както можете да видите, има много начини за получаване на достъп и защита от администраторския панел. Има обаче един ефективен метод, който ви позволява да защитите административния панел в повечето случаи, без да прибягвате до сложни операции.

Въпреки простия и достъпен начин за защита на админ панела, не трябва да пренебрегвате всички останали, описани по-горе. Не забравяйте, че само комплексната защита е ефективна.

Винаги можете да се свържете с експертите по сигурността на вашия сайт.