+7 (423) 242-36-49

Старая версия WebAsyst взломана хакером

В этом году в августе, компанией Ревизиум, которая специализируется на лечении веб-сайтов и защитой их от взломов, был зафиксирован поток жалоб от владельцев интернет-магазинов, работающих на движке CMS WebAsyst ShopScript.

А причиной обращений стало получение полного доступа к веб-сайту со стороны хакеров. И мало того – шантаж со стороны хакер. Так, многие жаловались на звонки с угрозами. Взломщик сайтов грозился полностью уничтожить интернет магазин, если не получит определенную сумму денег. Если проанализировать список конструкторов сайтов по популярность, то конструктор Webasyst занимает одну из лидирующих позиций. Конструктор многие считают практически идеальным, подходящим под проекты любой сложности.

Тем не менее факт взлома был и анализ проведенный специалистами показал, что получить доступ можно было при соблюдении некоторых условий. А именно:

  • Файл настроек – доступен к просмотру. Именно в нем и хранятся все логины и пароли доступа, причем в не зашифрованном виде.
  • На хостинге, где расположен сайт,  должен быть установлен phpmyadmin либо его аналог для работы с базой данных интернет-магазина.

Правда компания быстро отреагировала на взлом и для интернет-магазинов на версиях движка 3 и 4 дала следующие рекомендации для выполнения.

  • Владельцам интернет магазинов порекомендовали сделать бэкап всей базы данных и всех файлов, чтобы сохранить вне хостинга. Напомним, что хакер угрожал именно удалить весь сайт.
  • Естественно WebAsyst порекомендовал и стандартную смену паролей от админки и от базы данных, а также от хостинга.
  • Также рекомендован полный запрет доступа к файлам в веб-каталоге temp, а также других вложенных каталогах. В большинстве случаев для этого было достаточно загрузить файл .htaccess в папку temp и другие вложенные в него папки.
Опубликовано: 06.09.2016