3-фокус: Плагин және CMS қауіпсіздік протоколдары

Өткен апталарда жариялаған түсініктемелерде біз веб-сайттың, электрондық коммерцияның немесе блогтың қауіпсіздігіне қатысты кейбір негізгі аспектілерге назар аудардық. Осылардың арасында мысалы, сайттың хостингін еске түсірейік, жүйенің тәулігіне 24 сағат мінсіз жұмыс істеуіне кепілдік беретін іргелі айнымалы.Бірақ интернетте жиі орын алатындай, толық суретті басқатырғыштың көбірек бөліктерін біріктіру арқылы ғана алуға болады, сондықтан жай ғана тоқтау жеткіліксіз. хостинг немесе қарапайым техникалық қызмет көрсету. Басқалар да бар веб-сайттың қауіпсіздігін анықтайтын факторлар, және олардың арасында WordPress-тен Joomla!-ға дейінгі мазмұнды басқару жүйесінің плагиндері мен платформаларының протоколдарын қамтуымыз керек. Плагиндер мен CMS шын мәнінде болуы мүмкін шабуылдар мен зиянды бағдарламаларға арналған шлюз, сайттың тиімділігі мен деректердің жоғалуы тұрғысынан айқын теріс салдары бар. Сонымен, осы сценарийлерді қалай болдырмауға болатынын және оған дейін қандай ең жақсы тәжірибелерді жүзеге асыру керектігін қарастырайық.

ПЛАГИНДЕР ҚАНДАЙ ЖӘНЕ ОЛАР САЙТЫҢЫЗҒА ҚАНДАЙ ҚАУІПТІ.

Плагиндер нарығы, соңғы жылдары, көптеген пайдаланушылар осы интеграцияларға қатысты көпшіліктің ризашылығы мен танысуының арқасында әсерлі бумды бастан өткерді. Қарапайым басу және плагин орнатылған және белсенді, веб-сайттың операциялық мүмкіндіктерін кеңейтуге және кеңейтуге дайын. Ақпараттық бюллетеньден бастап деректерді өңдеуге, мазмұнды клондаудан кескіндерді оңтайландыруға дейін, кез келген қажеттілікке арналған жүздеген және жүздеген плагиндер бар. Өз өнімдерінің функцияларын плагин пішімінде де қол жетімді ететін бірдей компаниялар және сол бағдарламалық жасақтама мен компьютерлік бағдарламаларды әзірлеушілер. Бұл пайдаланушыларға, тіпті тәжірибесі аз адамдарға CMS басқару панелінен бағдарламаны іске асыруға, мысалы, өнімді онлайн сатуға мүмкіндік береді.

Инсомма, Плагиндердің артықшылықтары өте көп, бұл құралдарды дерлік таптырмас ету нүктесіне дейін. Бірақ артықшылықтармен қатар дұрыс түсіну және басқару қажет мәселе бар: қауіпсіздік. Қандай себептермен плагиндер цифрлық жобаңызға қауіп төндіруі мүмкін? Қайталанатын жағдайлардың қысқаша тізімімен жауап беруге тырысайық:

•  плагин енді келмейді жаңартылды, және бұл хакерлер сайтқа «кіру» және зиянды код жолдарын енгізу (өнімдерді, сауалнамаларды қайта бағыттау, бүкіл беттерді жою және т.
• бастапқы плагин келеді көшірілген және өңделген, тек қана адамдарды шынайы плагинді жүктеп алып жатырмыз деп сендіру үшін крекер жасаған сайтқа жүктеп салу үшін. Бұл кезде плагинді орнату бүкіл сайтқа қауіп төндіреді.
• плагин келеді жойылды ресми каталогтан, бірақ сіздің сайтыңызда орнатылған күйінде қалады. Бұл ықтималдық әлемдегі ең көп қолданылатын және ең танымал CMS WordPress-те жиі орын алады. Бір сөзбен айтқанда, WordPress-тің артындағы топ сәйкессіздіктерді немесе басқа назар аударарлық элементтерді тапқан кезде плагинді ресми каталогтан жою туралы шешім қабылдай алады. Бұл кезде плагин енді жаңартылмайды және бұл өз веб-сайтында әлі де сол плагинді пайдаланатындарға қауіп төндіреді.

ПЛАГИНДЕР ЖӘНЕ ҚАУІПСІЗДІК СТАНДАРТТАРЫН ТАЛДАУ ҚАЛАЙ БОЛАДЫ

Бірнеше озық тәжірибе плагиндердің ыңғайлылығынан бас тартпай, сайттың қауіпсіздігін арттыру үшін жүзеге асырылуы мүмкін. Қазіргі уақытта олардың түпнұсқалығы мен сапасына кепілдік беретін плагиндерді әзірлеуге арналған әмбебап протокол болмаса да, біз бәріміз ұстануға тиіс сақтық шараларының жетіспеушілігі жоқ. Бізде сенімділік неғұрлым көп болса, плагиннің қауіпсіздік стандарты соғұрлым жоғары болады, соғұрлым сенімділік азырақ болса, плагин орнатылғаннан кейін сайттың иммундық қорғанысын төмендету қаупі соғұрлым жоғары болады. L'талдау сондықтан келесі тармақтарды ескеру қажет:

• соңғы плагинді жаңарту күні (ескірсе, тәуекел артады, жақында болса, тәуекел төмендейді)
• WordPress немесе басқа CMS соңғы нұсқасымен үйлесімділік
• плагинді жүктеп алған адамдардың пікірлері
• техникалық құжаттары бар
• пайдаланушы пікірлері және әзірлеушілердің жауаптары
• плагиннің немесе оны жасаған компанияның ресми веб-сайты

Кішкене парасаттылықпен жүргізілген тексеру плагиннің сенімді немесе сенімді еместігін белгілі бір дәлдікпен түсінуге мүмкіндік беретіні айтпаса да түсінікті. Пікірлер теріс пе? Әзірлеуші ​​сұрақтарға жауап бермей жатыр ма? Қажетті құжаттар жоқ па? Соңғы жаңарту күні бірнеше жыл бұрын болды ма? Оны жай қалдырған жөн...

КОНТЕНТТЫ БАСҚАРУ ЖҮЙЕСІНІҢ ҚАУІПСІЗДІГІ

Қауіпсіз плагинді анықтауға қойылатын талаптарды егжей-тегжейлі қарастырғандықтан, Контентті басқару жүйесі мәселесіне көшейік, яғни сайттың немесе виртуалды кеңістіктің мазмұнды басқару жүйесі (қосу парағы, форум, блог және т.б.). Мұнда да нұсқаулық емес, тұтас кітап қажет болады, өйткені әрбір CMS басқаларынан ерекшеленеді және қазіргі уақытта қолданылып жатқан жаңартуға байланысты әрбір CMS үшін азды-көпті жоғары қауіпсіздік стандарттарына қол жеткізілді. Егер біз жақында WordPress үшін 5.0 нұсқасына жеткен болсақ, мысалы, Joomla! біз әлі де 3.9-дамыз, ал Magento үшін біз 2.4-ке жақынбыз. Назар аударыңыз, бұл нұсқа нөмірі жоғарырақ болса, қауіпсіздік күшейеді дегенді білдірмейді: кейбір CMS-тер кейінірек пайда болды, сондықтан сіз әрқайсысының эволюциясын жақсы білуіңіз керек және соңғы туралы жазылғандарды оқып, желінің көңіл-күйін түсіндіруіңіз керек. жаңарту.

Біз өз болжамдарымызды тек осыған негіздейтініміз анық. Қауіпсіздік тұрғысынан максималды алғымыз келсе, біз CMS платформасын соңғы нұсқаға дейін жаңартуға тырысуымыз керек: біз шығарылған соңғы жаңартудан неғұрлым алыстасақ, сайттың қауіпсіздігіне қауіп соғұрлым жоғары болады, бұл тағы да жасалған және біреу сырғып кетуі мүмкін тесіктерге байланысты.

Тәуекелсіз CMS-ті қалай жаңартуға болады

CMS жаңарту оңай шешілетін операция емес, әсіресе ол негізгі шығарылым болса (мысалы, WordPress-тің соңғы нұсқасы). Ең жақсы стратегия - бұл жаңа нұсқаны жүктеп алу және орнату алдында деректердің сақтық көшірмесін жасаңыз. Себебі тақырып пен CMS арасында немесе плагин мен CMS арасында мазмұнды, аудармаларды, кескіндерді және т.б. жоғалу қаупі бар қайшылық болуы мүмкін. Сақтық көшірме функциясы үшін сіз сайттың әдеттегі және кезектен тыс қызмет көрсетуіне арналған алдыңғы тарауды қараңыз.

ЖАЛПЫ CMS, ИЕ БАСҚАРУ НЕМЕСЕ WYSIWYG САЙТТАР?

Қауіпсіздік саласындағы біз сізге ұсынғымыз келетін соңғы сұрақ қарапайым CMS (дәл WordPress, Magento, Joomla! және т.б.), меншікті басқару жүйелері деп аталатын және веб-сайттар арасындағы айырмашылыққа қатысты «не көрсеңіз, соны аласыз. " түрі (Джимдодан Weebly және басқалар арқылы Wix-ке дейін). Мұнда веб-сайтты әзірлеу және техникалық қызмет көрсету саласындағы ондаған жылдардағы тәжірибемізден көрінетін әрбір баламаның қауіпсіздік тәсілінің қысқаша мазмұны берілген.

•  Жалпы CMS: көргеніміздей, сау және қауіпсіз ортаны конфигурациялау жауапкершілігі CMS жаңартуларымен жұмыс істейтін топтың қолында, сонымен қатар CMS және плагин жаңартуларын бақылайтындардың ұқыптылығында.
• Меншікті басқару: егер сайт веб-агенттікке немесе веб-шеберге тиесілі платформалармен немесе кодтармен әзірленсе, қауіпсіздік толығымен дерлік кезекші контактісінің қолына өтеді, ол сәйкес қорғау стандарттарына толық сәйкестігіне кепілдік беруі керек.
• Сіз көретін сайттар - сіз алатын нәрсе: бұл шешімдер ең танымал CMS және жеке басқару жүйелері арасындағы қиылысты білдіреді, себебі олар пайдаланушыға жай ғана мазмұнды бетке сүйреп апару арқылы өз сайтын басқаруға және басқаруға мүмкіндік береді. Қауіпсіздікке бұл жағдайда WYSIWYG шешімдерін әзірлейтін компаниялар жауап береді, бірақ абай болыңыз, өйткені жазылым жоспарына сәйкес көмек жеткілікті, жақсы немесе мүлдем болмауы мүмкін.

Үшінші бөліміміз осымен аяқталады. Келесі зерттеу өте өзекті тақырыпқа арналады: деректерді өңдеу және жеке жауапкершілік біздің веб-сайтқа, электрондық коммерцияға немесе блогқа адал ниетпен кіретін пайдаланушыларға. Дайын ба? Бізді қадағалаңыз, жақында кездескенше!