如今,有 2100 万个网站使用排名前 20 位的内容管理系统 (CMS),可以访问超过 67,000 个免费插件。根据 BuiltWithTrends,WordPress 是迄今为止最受欢迎的内容管理系统,拥有 51% 的市场份额。这些 CMS 对于处理客户凭证和金融交易的企业来说是否安全?在理解了 CMS 的基本功能之后,我们将了解这一点。
什么是内容管理系统?
内容管理系统是允许添加、更新和发布数字内容的一组或一组应用程序。它是您更改网站设计、更新产品详细信息、上传图片或视频以及进行其他更改的结构化工具。
几十年前,企业不得不在没有设计模板或应用程序的情况下从头开始构建网站。对于内容管理,他们依赖开发人员在每次发生变化时更新 HTML。
WordPress 和Drupal等公共或开源或免费 CMS彻底改变了网站的创建和管理方式。它们允许企业控制网站,而无需为更新产品描述等简单功能编写代码。营销或销售团队中的任何人今天都可以做到。对于自定义应用程序要求,他们可以使用免费的插件应用程序或要求开发团队创建一个新应用程序并将其上传到 CMS。简单的
内容管理系统中的固有漏洞
据 Data Breach Today 报道, 2014 年有 800,000 个银行凭证被黑客利用 WordPress 网站窃取。同年 11 月 20 日,WordPress 推出了针对跨站点脚本 (XSS)漏洞的安全补丁。
同样,就在四个月前,攻击者利用了 Drupal 中存在 2 年历史的 SQL 注入漏洞。他们安装了基于网络的勒索软件,并使用CVE-2014-3704劫持了网站管理员帐户,后来由 Drupal 对其进行了修补。
虽然 CMS 被广泛使用,但它也被广泛利用。由于开源社区管理这些 CMS,因此无法追踪代码的来源及其可能存在的漏洞。
即使您使用自动扫描或渗透测试发现漏洞,您也无法在系统中推动 WordPress 或 Drupal 对其进行修补。所以从本质上讲,人们只能祈祷他们的网站在 CMS 修复之前不会被黑客入侵。
平均而言,WordPress、Drupal 和 Joomla 分别在 42、51 和 36 天内发布安全补丁。这是已知漏洞时网站容易受到攻击的平均天数。对于未公布商业利用的其他漏洞,创建和部署补丁可能需要数月时间。
第三方应用程序中的安全漏洞
此外,三大 CMS目前提供 70,000 多个可用插件,任何人都可以上传或下载。由于 WordPress 拥有最大数量的第三方应用程序 (40,000),让我们看看为新应用程序编写代码并将它们上传到 CMS 需要什么。
- -零出版费
- - 零安全检查
- -基础API
- -支持PHP
基本上,任何知道如何编码的人都可以将插件添加到 WordPress 架构中,而我们不知道代码从何而来。Open Web Application Security Project (OWASP) A9 给出了这个带有插件的安全漏洞的一般概念。A9 代表“使用已知易受攻击的组件”。
因此,如果“FancyBox for WordPress”插件易受 SQL 注入攻击,则所有使用该插件的网站都将易受攻击,在本例中超过 100,000 个网站。
Checkmarx 几年前对 WordPress 插件进行了自动化测试,发现所有插件中有 20% 容易受到攻击,例如SQL Injection。此外,排名前 10 的插件中有 7 个容易受到应用程序攻击。
这意味着每个使用这些插件的网站也将容易受到攻击。
利用这些漏洞困难吗?
一个简单的“查看源代码”将告诉您网站在其 CMS 上使用的插件。如果其中一个插件易受攻击,黑客可以利用它来攻击该网站。
对于更大规模的自动化攻击,黑客首先会在插件中找到漏洞,然后找到数百万个使用该特定第三方应用程序的网站。
独立保护您的 CMS
未知代码组件、第三方应用程序和安全补丁的延迟使公共 CMS 容易受到多种应用程序攻击。虽然发现漏洞是实现安全的第一步,但您永远无法修补它,因为您的开发人员不拥有 CMS 或插件。即使进行深度渗透测试,您也只会查看漏洞而不会进行任何修复。这就是Indusface Total Application Security可以帮助您的地方。它可以找到漏洞并虚拟地修补它们。
虚拟补丁意味着您无需更改应用程序代码中的任何内容,但 WAF 会应用特定的策略或规则,不允许攻击者利用该特定漏洞。这就像在不更新软件的情况下自动缓解攻击。
