Фокус 3: Пратаколы бяспекі ўбудоў і CMS

У звестках, якія мы апублікавалі за апошнія тыдні, мы засяродзіліся на некаторых з асноўных аспектаў, якія тычацца бяспекі вэб-сайта, электроннай камерцыі або блога. Паміж гэтымі успомнім для прыкладу хостынг сайта, фундаментальная зменная, якая гарантуе бездакорнае функцыянаванне сістэмы 24 гадзіны ў суткі.Але, як гэта часта здараецца ў сетцы, поўную карціну можна атрымаць, толькі сабраўшы шмат частак галаваломкі, таму недастаткова спыніцца толькі на хостынгу або звычайным абслугоўванні. Ёсць і іншыя фактары, якія вызначаюць бяспеку вэб-сайта, і сярод іх мы павінны ўключыць пратаколы плагінаў і платформаў сістэмы кіравання кантэнтам, ад WordPress да Joomla!. Убудовы і CMS сапраўды могуць стаць шлюз для нападаў і шкоднасных праграм, з відавочнымі негатыўнымі наступствамі з пункту гледжання эфектыўнасці сайта і страты даных. Такім чынам, давайце паглядзім, як прадухіліць гэтыя сцэнары, а перад гэтым, якія лепшыя практыкі для рэалізацыі.

ШТО ТАКОЕ ПЛІГІНЫ І ЯКІМ НЕБЯСПЕКАМ ЯНЫ ПАДГРАЖАЮЦЬ ВАШ САЙТ

Рынак плагінаў за апошнія гады перажыў уражлівы бум дзякуючы грамадскай удзячнасці і знаёмству многіх карыстальнікаў з гэтай інтэграцыяй. Просты націск, і плагін усталяваны і актыўны, гатовы пашырыць і пашырыць працоўныя магчымасці вэб-сайта. Ад інфармацыйнага бюлетэня да банера згоды на апрацоўку даных, ад кланавання змесціва да аптымізацыі малюнкаў, ёсць сотні і сотні убудоў для любых патрэб. Гэта тыя ж кампаніі і тыя ж распрацоўшчыкі праграмнага забеспячэння і камп'ютэрных праграм, якія робяць функцыі сваіх прадуктаў даступнымі таксама ў фармаце плагінаў. Гэта дазваляе карыстальнікам, нават самым неспрактыкаваным, рэалізаваць праграму з панэлі адміністравання CMS, напрыклад, прадаваць тавар праз Інтэрнэт.

У заключэнне, Пераваг плагінаў шмат, да таго, што гэтыя інструменты сталі амаль незаменнымі. Але побач з перавагамі застаецца праблема, якую неабходна разумець і правільна вырашаць: бяспека. Па якіх прычынах плагіны могуць стаць небяспекай для вашага лічбавага праекта? Давайце паспрабуем адказаць кароткім спісам паўтаральных выпадкаў:

•  убудова больш не прыходзіць абноўлены, і гэта стварае недахоп, які хакеры могуць выкарыстоўваць у сваіх інтарэсах, "уваходзячы" на сайт і ўстаўляючы радкі шкоднаснага кода (для перанакіравання прадуктаў, апытанняў, выдалення цэлых старонак і г.д.)
• пастаўляецца арыгінальны убудова капіююць і маніпулююць, толькі для загрузкі на сайт, створаны ўзломшчыкам з мэтай прымусіць людзей паверыць, што яны спампоўваюць сапраўдны плагін. У гэты момант усталяванне плагіна рызыкуе паставіць пад пагрозу ўвесь сайт.
• убудова прыходзіць выдалены з афіцыйнага каталога, але застаецца ўсталяваным на вашым сайце. Такі выпадак часта здараецца ў WordPress, найбольш часта выкарыстоўванай і вядомай CMS у свеце. У двух словах, каманда, якая стаіць за WordPress, можа вырашыць выдаліць убудову з афіцыйнага каталога, калі выявіць несумяшчальнасць або іншыя вартыя ўвагі элементы. У гэты момант плагін больш не будзе абнаўляцца, і гэта, зноў жа, паставіць пад пагрозу тых, хто ўсё яшчэ выкарыстоўвае гэты плагін на сваім сайце.

ЯК АНАЛІЗАВАЦЬ ПЛАГІНЫ І СТАНДАРТЫ БЯСПЕКІ

Іх некалькі лепшая практыка якія можна рэалізаваць для павышэння бяспекі сайта, не адмаўляючыся ад зручнасці убудоў. Нягледзячы на ​​тое, што ў цяперашні час не існуе універсальнага пратаколу для распрацоўкі плагінаў, які б гарантаваў іх сапраўднасць і якасць, безумоўна, няма недахопу ў мерах засцярогі, якіх кожны з нас павінен выконваць. Чым больш у нас упэўненасці, тым вышэйшым будзе стандарт бяспекі ўбудовы, чым менш упэўненасці мы знойдзем, тым вышэй рызыка зніжэння імуннай абароны сайта пасля ўсталявання ўбудовы. л'аналіз таму варта ўлічваць наступныя моманты:

• дата апошняга абнаўлення ўбудовы (калі састарэла, рызыка павялічваецца, калі нядаўна, рызыка памяншаецца)
• сумяшчальнасць з апошняй версіяй WordPress або іншай CMS
• водгукі людзей, якія спампавалі плагін
• даступная тэхнічная дакументацыя
• каментарыі карыстальнікаў і адказы распрацоўшчыкаў
• афіцыйны сайт плагіна або кампаніі, якая яго распрацавала

Само сабой зразумела, праверка, праведзеная з доляй здаровага сэнсу, дазваляе з пэўнай дакладнасцю зразумець, надзейны ўбудова ці не. Водгукі адмоўныя? Распрацоўшчык не адказвае на пытанні? Ці адсутнічаюць неабходныя дакументы? Дата апошняга абнаўлення была некалькі гадоў таму? Лепш пакіньце гэта…

БЯСПЕКА СІСТЭМЫ КІРАВАННЯ ЗМЕСТАМ

Цяпер, калі мы дэталёва азнаёміліся з патрабаваннямі для ідэнтыфікацыі бяспечнага плагіна, пяройдзем да пытання сістэмы кіравання кантэнтам, гэта значыць сістэмы адміністравання кантэнту сайта або віртуальнай прасторы (мэтавая старонка, форум, блог і г.д.). Тут таксама спатрэбіцца не кіраўніцтва, а цэлая кніга, таму што кожная CMS адрозніваецца ад іншых, і для кожнай CMS былі дасягнуты больш-менш высокія стандарты бяспекі ў залежнасці ад абнаўлення, якое выкарыстоўваецца ў цяперашні час. Калі мы нядаўна выйшлі на версію 5.0 для WordPress, напрыклад, для Joomla! мы ўсё яшчэ знаходзімся на ўзроўні 3.9, у той час як для Magento мы блізкія да 2.4. Папярэджанне, гэта не азначае, што бяспека вышэй, калі нумар версіі вышэй: некаторыя CMS проста нарадзіліся пазней, таму вам трэба добра ведаць эвалюцыю кожнай з іх і інтэрпрэтаваць настроі сеткі, чытаючы тое, што напісана пра апошняе абнаўленне.

Відавочна, што не толькі на гэтым мы будзем грунтаваць свае прагнозы. Калі мы хочам атрымаць максімум з пункту гледжання бяспекі, мы павінны імкнуцца абнаўляць платформу CMS да апошняй версіі: чым больш мы аддаляемся ад апошняга выпушчанага абнаўлення, тым большай будзе рызыка для бяспекі сайта, зноў жа з-за дзірак, якія ствараюцца і ў якія хтосьці можа праскочыць.

Як абнавіць CMS, не рызыкуючы

Абнаўленне CMS - гэта аперацыя, да якой трэба ставіцца легкадумна, асабліва калі гэта буйны выпуск (напрыклад, апошняя версія WordPress). Лепшая стратэгія - гэта зрабіце рэзервовую копію дадзеных непасрэдна перад загрузкай і ўсталёўкай новай версіі. Гэта таму, што можа ўзнікнуць канфлікт паміж тэмай і CMS або паміж убудовай і CMS, з рызыкай страты кантэнту, перакладаў, малюнкаў і іншага. Для функцыі рэзервовага капіявання вы калі ласка, звярніцеся да папярэдняй главы, прысвечанай звычайнаму і пазачарговаму абслугоўванню сайта.

АГУЛЬНАЯ CMS, САЙТЫ КІРАВАННЯ ЎЛАСНЫКАМ АБО WYSIWYG?

Апошняе пытанне, якое мы хочам задаць вам у галіне бяспекі, тычыцца розніцы паміж звычайнымі CMS (у прыватнасці WordPress, Magento, Joomla! і іншымі), так званымі прапрыетарнымі сістэмамі кіравання і вэб-сайтамі тыпу «што бачыш, тое і атрымліваеш» (ад Jimdo да Wix праз Weebly і іншыя). Вось кароткі выклад падыходу да бяспекі кожнай альтэрнатывы, як гэта адлюстравана ў нашым дзесяцігадовым вопыце ў галіне распрацоўкі і абслугоўвання вэб-сайтаў.

•  Звычайная CMS: як мы бачылі, адказнасць за наладжванне здаровага і бяспечнага асяроддзя кладзецца на каманду, якая працуе над абнаўленнямі CMS, а таксама на пунктуальнасць тых, хто сочыць за абнаўленнямі CMS і плагінаў.
• Прапрыетарнае кіраванне: калі сайт распрацаваны з платформамі або кодамі, якія належаць вэб-агенцтву або вэб-майстру, бяспека амаль цалкам пераходзіць у рукі дзяжурнай кантактнай асобы, якая павінна гарантаваць поўную адпаведнасць адпаведным стандартам абароны.
• Сайты, што вы бачыце, тое і атрымліваеце: гэтыя рашэнні ўяўляюць сабой нешта сярэдняе паміж найбольш папулярнымі CMS і прыватнымі сістэмамі кіравання, таму што яны дазваляюць карыстальніку кантраляваць і кіраваць сваім уласным сайтам, проста перацягваючы змесціва на старонку. Адказнасць за бяспеку ў дадзеным выпадку нясуць кампаніі, якія распрацоўваюць рашэнні WYSIWYG, але будзьце асцярожныя, бо ў адпаведнасці з планам падпіскі дапамога можа быць дастатковай, добрай або амаль зусім адсутнічаць.

Наша трэцяя частка заканчваецца тут. Наступнае даследаванне будзе прысвечана вельмі актуальнай тэме: апрацоўка дадзеных і асабістыя абавязкі да карыстальнікаў, якія добрасумленна наведваюць наш вэб-сайт, электронную камерцыю або блог. гатовы? Працягвайце сачыць за намі, да хуткай сустрэчы!