+7 (960) 319-11-37
info@quasar-media.ru
Создание и продвижение сайтов во всех городах России
Список городов

Защита сайта путем подмены движка CMS

Если просмотреть просторы интернета, то многие предлагают защищать сайты разными путями: некоторые предлагают делать очень сложные пароли, некоторые ставить плагины. У всех методов есть преимущества и недостатки. Мы, со своей стороны предлагаем ещё один вариант - он простой, бесплатный, а в случае попытки взлома брутфорсом - серьёзно сэкономит ресурсы.

Есть 2 основных типа взлома

  1. Взлом сайтов ради спортивного интереса по общеизвестным уязвимостям. При данном методе а автоматическам режиме отбираются отдельные CMS и отбирается атака.
  2. Взлом конкретного сайта ради достижения определенной цели (нанесение вреда, вывода из строя и т.д.)

Данный метод почти полностью защищает от первого метода, и серьезно усложняет для второго.

Зачастую, жертва отбирается в автоматическом режиме. Человек прогоняет сайт(ы) через сервис определения CMS, которых достаточно много, определяется определенная CMS, и, производятся попытки взлома через определенный алгоритм.

Как мы можем противостоять взломщику? Легко! Нужно просто подменить CMS!

Берем любой проект, который хотим защитить, и прогоняем через сервис определения движка.

Определение CMS в автоматическом режиме

Видим, что у нас Joomla. Как он определил? Магии тут нет, смотрим логи.

Логи после определения версии движка

Всё достаточно просто. Сервис пытается определить CMS просто методом "тыка", перебирая тем самым папки и файлы, присущие данной CMS. Если при обращении к файлу выдается ошибка, то сервис отбрасывает данный вариант, а если возвращается код 200 - то сервис считает, что данный движок используется в проекте.

Конечно же, мы можем просто удалить папку или запретить к ней доступ, но тогда не сможем нормально редактировать содержимое, да и работа, скорее всего, будет нарушена.

Мы поступим более простым способом, а именно запоролим папку администратора (/administrator). Таким образом, получим дополнительную защиту от брутфорса с пониженным расходом ресурсов, а главное, при обращении к паке будет отдаваться код 401, а не 200, и сервис просто не заподозрит, что используется Joomla.

Конечно же, это можно сделать вручную, но, почти все хостеры позволяют автоматизировать этот процесс. У таймвеба, к примеру, это делается в 2 шага:

Выбирается парка:

Файловый менеджер

Далее выбирается Файл --> Пароль на директорию

Установка пароля на директорию

 Прогоняем сайт повторно:

Повторная проверка версии CMS

Теперь остается ещё сильнее запутать "взломщика" - создать папки или файлы, которые присущи другой CMS!

Мы создаем структуру папок специально, что бы запутать систему автоопределение движка.

Для примера - замаскируемся под битрикс - загружаем этот файл.

Распаковываем архив в корень сайта, и теперь создались новые папки, и при последующем запуске проверки система выдает ложный движок.

При данном подходе сильно затрудняется подбор пароля методом прямого подбора, так как при попытке подбора пароля от админки будут выделяться минимальные ресурсы, так как не будут подтягиваться скрипты (так как их просто нет).

Обратная связь

Обратная связь

Ваше сообщение было успешно отправлено

Обратная связь

Обратная связь

Ваше сообщение было успешно отправлено

Заказать
сайт
Задать
вопрос
+7 (960) 319-11-37
Онлайн-калькулятор