如何在没有修补的情况下保护您的CMS
在只需四个小时内,坏人可以撤消工程师为开源内容管理系统(CMS)的软件补丁,并建立一个能够将数百万个网站转换为垃圾邮件发送者,恶意软件主机或DDOS攻击者的漏洞。
“德国协会CMS花园的成员David Jardin说:”这只是普通网站所有者申请更新的时间,促进了包括Drupal,Joomla,WordPress等的开源CMS软件的使用。
为了更快地帮助普通用户修补程序,CMS花园正在参与政府资助的项目,安全的网站和内容管理系统(Siwecos),使中小企业的网站更加安全。
Jardin说,Siwecos是一种三管齐下的努力。
项目参与者包括波鸿大学的研究人员正在建立一个扫描引擎,将为企业主提供有关其网站上的潜在安全问题的反馈,例如SSL错误配置或漏洞到跨站点脚本攻击。
CMS花园正在贡献第二部分:一系列用于不同开源CMMS的插件,将提供从CMS管理界面内的反馈,其中站点所有者可以立即采取行动。
第三部分,一个jardin最兴奋,是一项服务,它将帮助网络托管公司在达到易受攻击的CMS安装之前过滤攻击。
Jardin将该项目投入到6月的消息,恶意软件和移动反滥用工作组(M3AAWG,旨在争夺互联网基础设施的组织)的会议。
随着Jardin看到它,Systys CMS花园的固有不安全没有固有的不安全。问题是,网站所有者使用它们只是没有时间让他们的系统保持最新。然后,更好地将它们从循环中取出。
“我想通过直接与网络主机进行责任链删除网站所有者,”他说。
他不期望网络主机修补客户的CMSES。相反,与修补程序外出的同时,他为其Web应用程序防火墙提供了现成的过滤器规则,旨在阻止与修补程序相同的利用。
“他们可以立即将它涂在一起,并在最终用户身边工作,让他们更多的时间来应用补丁,”他说。“我们已经在一定时间的规模上为Joomla项目和一些德国网络主持人进行了很少的规模,具有巨大效果。”
在最近的事件中,一个德国托管公司,其中一个过滤器应用了一个过滤器在释放了Joomla补丁后的第一天在每小时阻止了150,000个请求。
Web主机可以为自己创造此类过滤器,但这将涉及它们也涉及逆向工程。Jardin说,将它更快地将其留给CMS Garden等团体。
“对于CMS社区来说,它不是一个大不了的事情,因为我们很了解我们的系统。我们可以在一个规则中,不具有许多副作用,没有误报,以及免费的网络托管公司,免费和安全。“
虽然Siwecos项目由德国政府资助,而主要针对德国中小企业,互联网交通没有界限。
“甚至德国公司甚至遍布全球网站,”Jardin说。“我们很多人都在谈论,所以它更加是一个全球计划。”
Siwecos扫描系统将使用模块化API。现在是一个封闭的测试版测试,但它的开发人员希望在9月份将其打开,当他们将为它发布第一个插件时。开发中的模块包括用于扫描与安全性相关的HTTP标头,例如内容安全策略的HTTP标头。
“CSP标题是非常相关的,因为即使网站已经被感染,他们也可以防止漏洞利用,”Jardin说。还将有扫描仪在服务器设置中验证SSL和TLS认证,并检查HTML代码中的恶意软件。
Jardin希望在9月推出Web主机服务。它将首先私人邮件列表开始,以避免在可以修补或以其他方式保护之前避免给予额外的线索来利用CMSES。
“如果你看一下防火墙规则,那么经验丰富的攻击者建立漏洞的攻击者将相当容易。这就是为什么我们想要限制收件人的圈子。“
Siwecos的Web App防火墙元素与Work WordPress的一些重叠与某些Web主机一起进行。但是,Siwecos正在使用多个CMS项目,并将对更多的网络主机开放。“我们项目的美丽是它是关于所有CMSE的信息的一个中央地。”
根据Jardin的说法,商业网络应用防火墙供应商没有任何可能从项目中担心,并且很多都要收益。
“他们不知道我们的应用程序,他们没有有关于安全问题的任何前面的信息。它将至少24〜48小时服用它们,直到他们设定到位,从一开始就可以提供。那是完全新的东西。“