PhpMyAdmin: уязвимости, которые могут нанести вред, и как их избежать

Уязвимости присутствуют даже в последних версиях phpMyAdmin, что уж говорить о более старых версиях этого приложения.

PhpMyAdmin — это бесплатное веб-приложение, которое используют для управления базой MySQL. Из-за простоты и бесплатности оно пользуется большим спросом среди владельцев собственных серверов VDS/VPS/DDS. Но, так как данное приложение позволяет управлять базами данных веб-ресурсов, оно вызывает интерес у злоумышленников, которые всячески его атакуют с целью похитить информацию из баз данных, чтобы навредить или потребовать выкуп.

 

Уязвимости phpMyAdmin

Самая главная среди всех уязвимостей phpMyAdmin — это банальная невнимательность и лень веб-мастеров. Потому очень часто, используя свой сервер или программу для работы с базами данных phpMyAdmin, молодые веб-мастера оставляют все конфигурации по умолчанию, а иногда вообще оставляют доступность к этой панели управления полностью открытой. Оба эти действия дают возможность злоумышленникам без всяких сложностей осуществить взлом сайта или базы данных. А последствия от подобного взлома могут быть от самых безобидных до весьма печальных.

Уязвимость с открытостью phpMyAdmin затрагивает не только владельцев собственных серверов. Веб-мастера, которые размещают свои веб-ресурсы на виртуальном хостинге, также пренебрежительно оставляют открытым доступ к phpMyAdmin и при этом не удосуживаются поменять хотя бы директорию расположения на более уникальную, поэтому располагают доступ к этой панели в:

• /pma
• /adm
• /myadmin
• /phpmyadmin
• /phpMyAdmin
• /adminphp
• /dbadmin
• /adminpma
• /dbweb
• /webdb
• и др.

Подобные адреса легко находятся ботами, ну а злоумышленникам остается ими только воспользоваться.

Самым плодовитым годом на уязвимости был 2016, в тот год обнаружили и «закрыли» 76 различных уязвимостей, за 2020 было обнаружено всего 8. Кстати, статистику по уязвимостям phpMyAdmin можно посмотреть на этом сайте.

Необходимо понимать, что для реализации удачной кибератаки на веб-сайт, веб-сервер или базу данных необходимо всего лишь получить доступ к phpMyAdmin или базе данных, а дальше — дело техники самого хакера. Получить же такой доступ легче, чем вам может показаться:

• до сих пор большинство веб-мастеров из-за своей невнимательности оставляют публичной доступность к бэкапам веб-сайтов, в которых также располагаются логины и пароли;
• слабая защищенность определенных виртуальных хостингов дает возможность заполучить доступ к вашему веб-сайту от его «соседа»;
• доступность к phpMyAdmin или базе данных возможно «подглядеть», используя уязвимости CMSсайта;
• и др.

 

Как защититься от кибератак через уязвимости phpMyAdmin

Самый простой метод — это не использовать данный инструмент, но если по-другому у вас не получается взаимодействовать с базой данных, то можно попробовать следующее:

1. Не забывайте придумывать надежные пароли от phpMyAdmin и базы данных — это хотя бы затруднит процесс их взлома.
2. Всегда обновляйте phpMyAdmin до самой последней версии, потому что в каждом обновлении «закрываются» найденные уязвимости.
3. Нужно закрывать следующие доступы к инструменту: через аутентификацию по IP, при помощи серверной авторизации, применяя кодовое слово. Для этого нужно подкорректировать файл .htaccess в папке phpMyAdmin.
4. Исключите доступ к панели phpMyAdmin по популярному адресу. Часть из них мы перечислили выше, но их, на самом деле, очень много. Адрес с доступом к панели phpMyAdmin должен быть максимально уникальным, потому что по «известным» постоянно гуляют боты с целью их обнаружения.

Самое верное решение, если вы уже настроили работу с базой данных, — это удалить phpMyAdmin со своего хостинга. После удаления этого инструмента вероятность взлома существенно снижается. Если же вам никак не работается без подобного инструмента, то можно присмотреть более простые и защищенные аналоги phpMyAdmin:

• adminer;
• sxd.

 

Заключение

Уязвимости phpMyAdmin всегда будут: одни будут находить и закрывать, а другие будут появляться снова. Вся защита от взлома phpMyAdmin ложится на плечи самого веб-мастера. Если он предпримет шаги, что описаны выше, не исключит взлом ресурса через phpMyAdmin на 100%, но существенно затруднит работу хакерам.