Уязвимости присутствуют даже в последних версиях phpMyAdmin, что уж говорить о более старых версиях этого приложения.
PhpMyAdmin — это бесплатное веб-приложение, которое используют для управления базой MySQL. Из-за простоты и бесплатности оно пользуется большим спросом среди владельцев собственных серверов VDS/VPS/DDS. Но, так как данное приложение позволяет управлять базами данных веб-ресурсов, оно вызывает интерес у злоумышленников, которые всячески его атакуют с целью похитить информацию из баз данных, чтобы навредить или потребовать выкуп.
Уязвимости phpMyAdmin
Самая главная среди всех уязвимостей phpMyAdmin — это банальная невнимательность и лень веб-мастеров. Потому очень часто, используя свой сервер или программу для работы с базами данных phpMyAdmin, молодые веб-мастера оставляют все конфигурации по умолчанию, а иногда вообще оставляют доступность к этой панели управления полностью открытой. Оба эти действия дают возможность злоумышленникам без всяких сложностей осуществить взлом сайта или базы данных. А последствия от подобного взлома могут быть от самых безобидных до весьма печальных.
Уязвимость с открытостью phpMyAdmin затрагивает не только владельцев собственных серверов. Веб-мастера, которые размещают свои веб-ресурсы на виртуальном хостинге, также пренебрежительно оставляют открытым доступ к phpMyAdmin и при этом не удосуживаются поменять хотя бы директорию расположения на более уникальную, поэтому располагают доступ к этой панели в:
- /pma
- /adm
- /myadmin
- /phpmyadmin
- /phpMyAdmin
- /adminphp
- /dbadmin
- /adminpma
- /dbweb
- /webdb
- и др.
Подобные адреса легко находятся ботами, ну а злоумышленникам остается ими только воспользоваться.
Самым плодовитым годом на уязвимости был 2016, в тот год обнаружили и «закрыли» 76 различных уязвимостей, за 2020 было обнаружено всего 8. Кстати, статистику по уязвимостям phpMyAdmin можно посмотреть на этом сайте.
Необходимо понимать, что для реализации удачной кибератаки на веб-сайт, веб-сервер или базу данных необходимо всего лишь получить доступ к phpMyAdmin или базе данных, а дальше — дело техники самого хакера. Получить же такой доступ легче, чем вам может показаться:
- до сих пор большинство веб-мастеров из-за своей невнимательности оставляют публичной доступность к бэкапам веб-сайтов, в которых также располагаются логины и пароли;
- слабая защищенность определенных виртуальных хостингов дает возможность заполучить доступ к вашему веб-сайту от его «соседа»;
- доступность к phpMyAdmin или базе данных возможно «подглядеть», используя уязвимости CMSсайта;
- и др.
Как защититься от кибератак через уязвимости phpMyAdmin
Самый простой метод — это не использовать данный инструмент, но если по-другому у вас не получается взаимодействовать с базой данных, то можно попробовать следующее:
- Не забывайте придумывать надежные пароли от phpMyAdmin и базы данных — это хотя бы затруднит процесс их взлома.
- Всегда обновляйте phpMyAdmin до самой последней версии, потому что в каждом обновлении «закрываются» найденные уязвимости.
- Нужно закрывать следующие доступы к инструменту: через аутентификацию по IP, при помощи серверной авторизации, применяя кодовое слово. Для этого нужно подкорректировать файл .htaccess в папке phpMyAdmin.
- Исключите доступ к панели phpMyAdmin по популярному адресу. Часть из них мы перечислили выше, но их, на самом деле, очень много. Адрес с доступом к панели phpMyAdmin должен быть максимально уникальным, потому что по «известным» постоянно гуляют боты с целью их обнаружения.
Самое верное решение, если вы уже настроили работу с базой данных, — это удалить phpMyAdmin со своего хостинга. После удаления этого инструмента вероятность взлома существенно снижается. Если же вам никак не работается без подобного инструмента, то можно присмотреть более простые и защищенные аналоги phpMyAdmin:
- adminer;
- sxd.
Заключение
Уязвимости phpMyAdmin всегда будут: одни будут находить и закрывать, а другие будут появляться снова. Вся защита от взлома phpMyAdmin ложится на плечи самого веб-мастера. Если он предпримет шаги, что описаны выше, не исключит взлом ресурса через phpMyAdmin на 100%, но существенно затруднит работу хакерам.
Web