Оказывается специалисты российской поисковой системы занимаются и проблемами обычных вебмастеров. Яндекс опубликовал статистику по наиболее распространенным CMS и уязвимостям, позволяющим размещать на взломанных сайтах вредоносный код, а также дал рекомендации по защите CMS.

Яндекс дал пару советов по защите сайтов на распространенных CMS

По мнению специалистов Яндекса, больше всего уязвимы для злоумышленников тиражируемые CMS, так как найденные уязвимости в одной конкретной версии этой CMS представляют собой угрозу взлома всех CMS этой версии. При этом, чем более распространенной является система и чем чаще она применяется на популярных сайтах, тем больше усилий и денег злоумышленники инвестируют в поиск ее уязвимостей, в отличие от CMS собственной разработки.

Кроме того, большинство современных CMS состоят из множества модулей, и многие уязвимости связаны с плагинами, которые обычно написаны и протестированы на безопасность хуже, чем основной код системы. По данным Яндекса, доли CMS на популярных российских сайтах, CMS которых удалось определить, выглядят следующим образом:

Частота использования большинства версий CMS WordPress на обычных и на зараженных сайтах примерно одинакова. При этом чаще всего зараженными являются сайты, использующие WordPress 3.2.1, 3.1.3 и 2.9.2, эти же версии широко распространены на незараженных популярных сайтах. Только за август и сентябрь 2011 опубликовано 57 новых уязвимостей WordPress, причем все они находятся в дополнительных компонентах. Уязвимости присутствуют в модулях wp-forum , wp-slimstat, wordpress automatic upgrade и других. С общим обзором уязвимостей WordPress можно ознакомиться здесь.

CMS Joomla версии 1.5 также одинаково часто встречается как на обычных, так и на зараженных сайтах. Владельцам сайтов, использующих эту версию Joomla, тоже рекомендуется уделять безопасности особое внимание. С начала года было опубликовано 38 новых уязвимостей в компонентах Joomla. В частности, об уязвимости в Joomla Datsogallery 1.3.1. Для того, чтобы CMS сайта невозможно было взломать, Яндекс рекомендует соблюдать следующие правила:

ТОП 7 правил для CMS сайта от Яндекс

ТОП1. Регулярно обновлять CMS. 
ТОП2. Скрывать тип и версию установленной CMS и ее плагинов, не указывать их в коде страницы. Кроме того, нужно следить за тем, чтобы сайт нельзя было обнаружить с помощью специальных поисковых запросов-«дорков», которые злоумышленники используют для поиска уязвимых CMS.
ТОП3. Не использовать контрафактные версии CMS - в некоторых случаях в них умышленно снижена степень безопасности или даже внедрены готовые backdoor’ы (пример- некоторые выпуски CMS DLE от M.I.D. с backdoor от Zloy). 
ТОП4. Проверять все без исключения данные, которые пользователь может ввести на страницах сайта или напрямую передать серверным скриптам при помощи запросов. Это может потребовать самостоятельной доработки модулей CMS. Например, такая доработка фильтрации входных данных позволяет снизить уязвимость DLE Shop. Для тестирования этих проверок рекомендуется привлечь специалистов по тестированию на проникновение (penetration-тестированию).
ТОП5. Использовать минимум сторонних скриптов, модулей, расширений. В самих пакетах CMS уязвимостей обычно немного, в основном они приходятся на дополнения, причем как сторонней разработки, так и официальные.
ТОП6. Вебмастера и администраторы должны работать в безопасном окружении и выполнять правила безопасной работы в интернете (в частности, не сохранять пароли в браузере и FTP-клиенте, защищать рабочее место антивирусом и файрволлом).
ТОП7. Перед тем, как устанавливать на веб-сервер какое-либо ПО, очень полезно узнать о его уязвимостях и способах их устранения с помощью The Open Source Vulnerability Database.