Poudarek 3: Varnostni protokoli vtičnikov in CMS

V vpogledih, ki smo jih objavili v preteklih tednih, smo se osredotočili na nekatere glavne vidike v zvezi z varnostjo spletnega mesta, e-trgovine ali bloga. Med temi spomnimo se na primer gostovanja spletnega mesta, temeljna spremenljivka, ki zagotavlja brezhibno delovanje sistema 24 ur na dan.A kot se na spletu rado zgodi, je popolno sliko mogoče dobiti le s sestavljanjem več kosov sestavljanke, zato ni dovolj, da se ustavimo le pri gostovanju ali navadnem vzdrževanju. So še drugi dejavniki, ki določajo varnost spletnega mesta, mednje pa moramo vključiti protokole vtičnikov in platform sistema za upravljanje vsebine, od WordPressa do Joomle!. Vtičniki in CMS lahko dejansko postanejo prehod za napade in zlonamerno programsko opremo, z očitnimi negativnimi posledicami v smislu učinkovitosti spletnega mesta in izgube podatkov. Poglejmo torej, kako preprečiti te scenarije, in pred tem, katere so najboljše prakse za izvajanje.

KAJ SO Vtičniki IN KAKŠNIM NEVARNOSTIM IZPOSTAVLJAJO VAŠE SPLETNO MESTO

Trg vtičnikov je v zadnjih letih doživel impresiven razcvet, zahvaljujoč javnemu priznanju in poznavanju teh integracij, ki so ga pridobili številni uporabniki. Preprost klik in vtičnik je nameščen in aktiven, pripravljen za razširitev in razširitev operativnih možnosti spletnega mesta. Od glasila do pasice s soglasjem za obdelavo podatkov, od kloniranja vsebine do optimizacije slik, obstaja na stotine in stotine vtičnikov za vse vrste potreb. Ista podjetja in isti razvijalci programske opreme in računalniških programov dajejo funkcije svojih izdelkov na voljo tudi v obliki vtičnikov. To uporabnikom, tudi najmanj izkušenim, omogoča implementacijo programa iz skrbniške plošče CMS, na primer za spletno prodajo izdelka.

Na kratko, Prednosti vtičnikov je veliko, do te mere, da so ta orodja skoraj nepogrešljiva. Toda poleg prednosti ostaja problem, ki ga je treba razumeti in pravilno obravnavati: varnost. Iz katerih razlogov lahko vtičniki postanejo nevarnost za vaš digitalni projekt? Poskusimo odgovoriti s kratkim seznamom ponavljajočih se primerov:

•  vtičnik ne pride več posodobljeno, kar ustvari napako, ki jo lahko hekerji izkoristijo v svojo korist, tako da "vstopijo" na spletno mesto in vstavijo vrstice zlonamerne kode (za preusmeritev izdelkov, anket, za brisanje celih strani itd.)
• prihaja originalni vtičnik kopirali in manipulirali, samo za nalaganje na spletno mesto, ki ga je ustvaril kreker z namenom, da ljudi zavede, da verjamejo, da prenašajo pravi vtičnik. Na tej točki lahko namestitev vtičnika ogrozi celotno spletno mesto.
• pride vtičnik izbrisano iz uradnega imenika, vendar ostane nameščen na vašem spletnem mestu. Ta možnost se pogosto zgodi v WordPressu, najbolj uporabljanem in najbolj znanem CMS na svetu. Na kratko, ekipa, ki stoji za WordPressom, se lahko odloči odstraniti vtičnik iz uradnega imenika, ko najde nezdružljivosti ali druge omembe vredne elemente. Takrat vtičnik ne bo več posodobljen, kar bo spet ogrozilo tiste, ki še vedno uporabljajo ta vtičnik na svojem spletnem mestu.

KAKO ANALIZIRATI VTIČNIKE IN VARNOSTNE STANDARDE

Obstaja več najboljša praksa ki jih je mogoče implementirati za povečanje varnosti spletnega mesta, ne da bi se odrekli udobju vtičnikov. Čeprav trenutno ni univerzalnega protokola za razvoj vtičnikov, ki bi zagotavljal njihovo pristnost in kakovost, vsekakor ne manjka varnostnih ukrepov, ki bi jih morali vsi upoštevati. Več kot imamo gotovosti, višji bo varnostni standard vtičnika, manj gotovosti kot najdemo, večje je tveganje za znižanje imunske zaščite spletnega mesta, ko je vtičnik nameščen. L'analiza zato mora upoštevati naslednje točke:

• datum zadnje posodobitve vtičnika (če je zastarel, se tveganje poveča, če je nedavno, se tveganje zmanjša)
• združljivost z najnovejšo različico WordPressa ali drugega CMS
• ocene ljudi, ki so prenesli vtičnik
• tehnična dokumentacija na voljo
• komentarji uporabnikov in odgovori razvijalcev
• uradno spletno mesto vtičnika ali podjetja, ki ga je razvilo

Samoumevno je, da vam pregled, opravljen z malo zdrave pameti, omogoča, da z določeno natančnostjo razumete, ali je vtičnik zanesljiv ali ne. Ali so ocene negativne? Razvijalec ne odgovarja na vprašanja? Manjkajo zahtevani dokumenti? Je bil datum zadnje posodobitve pred nekaj leti? Raje pusti pri miru…

VARNOST SISTEMA ZA UPRAVLJANJE VSEBIN

Zdaj, ko smo podrobno videli zahteve za identifikacijo varnega vtičnika, preidimo na vprašanje sistema za upravljanje vsebine, tj. sistema za upravljanje vsebine spletnega mesta ali virtualnega prostora (ciljne strani, foruma, bloga itd.). Tudi tukaj ne bi bil potreben vodnik, ampak cela knjiga, saj je vsak CMS drugačen od drugih in za vsak CMS so bili doseženi bolj ali manj visoki varnostni standardi, odvisno od trenutno uporabljene posodobitve. Če smo nedavno dosegli različico 5.0 za WordPress, na primer za Joomla! smo še vedno pri 3.9, pri Magentu pa blizu 2.4. Opozorilo, to ne pomeni, da je varnost večja, če je številka različice višja: nekateri CMS-ji so bili preprosto rojeni pozneje, zato morate dobro poznati razvoj vsakega posebej in razlagati razpoloženja omrežja, prebrati, kaj je napisano o zadnji posodobitvi.

Jasno je, da naše napovedi ne bodo temeljile samo na tem. Če želimo doseči maksimum glede varnosti, prizadevati si moramo, da je platforma CMS posodobljena na najnovejšo različico: bolj ko se odmikamo od zadnje izdane posodobitve, večja bodo tveganja za varnost strani, spet zaradi lukenj, ki nastanejo in v katere lahko kdo zdrsne.

Kako posodobiti CMS brez tveganja

Posodabljanje CMS ni operacija, ki bi se je lotili zlahka, še posebej, če gre za večjo izdajo (kot je najnovejša različica WordPressa). Najboljša strategija je varnostno kopirajte podatke tik pred prenosom in namestitvijo nove različice. To je zato, ker lahko pride do spora med temo in CMS ali med vtičnikom in CMS, s tveganjem izgube vsebine, prevodov, slik in drugega. Za rezervno funkcijo vas glejte prejšnje poglavje o rednem in izrednem vzdrževanju spletnega mesta.

SKUPNA MESTA CMS, LASTNIŠKO UPRAVLJANJE ALI WYSIWYG?

Zadnje vprašanje, ki vam ga želimo zastaviti v zvezi z varnostjo, se nanaša na razliko med običajnimi CMS-ji (natančno WordPress, Magento, Joomla! in drugi), tako imenovanimi lastniškimi sistemi upravljanja in spletnimi mesti tipa "kar vidite, to dobite" (od Jimda do Wixa prek Weeblyja in drugih). Tukaj je povzetek varnostnega pristopa vsake alternative, kot se odraža v naših desetletjih izkušenj na področju razvoja in vzdrževanja spletnih strani.

•  Skupni CMS: kot smo videli, je odgovornost za konfiguracijo zdravega in varnega okolja v rokah ekipe, ki se ukvarja s posodobitvami CMS, pa tudi točnosti tistih, ki spremljajo posodobitve CMS in vtičnikov.
• Lastniško upravljanje: če je stran razvita s platformami ali kodami v lasti spletne agencije ali spletnega mojstra, preide varnost skoraj v celoti v roke dežurne kontaktne osebe, ki bo morala zagotoviti popolno skladnost z ustreznimi standardi zaščite.
• Spletna mesta Kar vidite, to dobite: te rešitve predstavljajo križanec med najbolj priljubljenimi CMS in zasebnimi sistemi upravljanja, saj uporabniku omogočajo nadzor in upravljanje lastnega spletnega mesta preprosto tako, da povleče in spusti vsebino na stran. Za varnost so v tem primeru odgovorna podjetja, ki razvijajo WYSIWYG rešitve, vendar bodite previdni, saj je po naročniškem načrtu pomoč lahko zadostna, dobra ali skoraj popolnoma odsotna.

Naš tretji obrok se tukaj konča. Naslednja študija se bo osredotočila na zelo aktualno temo: obdelavo podatkov in osebne odgovornosti do uporabnikov, ki obiščejo naše spletno mesto, e-trgovino ali blog v dobri veri. pripravljena Spremljajte nas še naprej, se vidimo!