Фокус 3: приклучок и безбедносни протоколи CMS

Во увидите што ги објавивме во изминатите недели, се фокусиравме на некои од главните аспекти во врска со безбедноста на веб-локацијата, страницата за е-трговија или блогот. Помеѓу овие да се потсетиме на пример на хостирањето на некој сајт, фундаментална променлива која гарантира совршено функционирање на системот 24 часа на ден. хостинг или обично одржување. Има и други фактори кои ја одредуваат безбедноста на веб-локацијата, а меѓу нив мора да ги вклучиме протоколите на приклучоците и платформите на Систем за управување со содржина, од WordPress до Joomla!. Приклучоците и CMS всушност можат да станат портата за напади и малициозен софтвер, со очигледни негативни реперкусии во однос на ефикасноста на локацијата и загубата на податоци. Значи, да видиме како да ги спречиме овие сценарија, а пред тоа кои се најдобрите практики за спроведување.

ШТО СЕ ПРИГОВОРИ И КОИ ОПАСНОСТИ ГИ ИЗЛОЖУВААТ ВАШАТА СТРАНА

Пазарот на приклучоци доживеа импресивен бум во последниве години, благодарение на благодарноста на јавноста и запознаеноста што многу корисници ја стекнаа со овие интеграции. Едноставен клик и додатокот е инсталиран и активен, подготвен да ги прошири и прошири оперативните можности на веб-локацијата. Од билтенот до банерот за согласност за обработка на податоци, од клонирање на содржина до оптимизација на слики, постојат стотици и стотици додатоци за секаков вид на потреба. Истите компании и истите развивачи на софтвер и компјутерски програми ги прават функциите на нивните производи достапни и во формат на приклучоци. Ова им овозможува на корисниците, дури и на помалку искусните, да ја имплементираат програмата од административниот панел на CMS, на пример да продаваат производ преку Интернет.

Во заклучок, предностите на приклучоците се многу, до степен да ги направиме овие алатки неопходни или речиси незаменливи. Но, покрај придобивките, останува и еден проблем што мора да се разбере и правилно да се управува: безбедноста. Од кои причини приклучоците можат да станат опасност за вашиот дигитален проект? Ајде да се обидеме да одговориме со краток список на повторливи случаи:

•  приклучокот повеќе не доаѓа ажурирани, и ова создава пропуст што компјутерските пирати можат да го искористат во своја полза, „влегувајќи“ на страницата и вметнувајќи линии со злонамерен код (за пренасочување производи, анкети, бришење цели страници итн. итн.)
• доаѓа оригиналниот приклучок копирани и манипулирани, за потоа да се вметне во страница создадена специјално од крекер, со цел да ги измами луѓето да веруваат дека го преземаат вистинскиот приклучок. Во тој момент, инсталирањето на приклучокот ризикува да ја загрози целата страница.
• приклучокот доаѓа избришани од официјалниот директориум, но останува инсталиран на вашата страница. Оваа евентуалност често се случува во WordPress, најкористениот и најпознат CMS во светот. Накратко, групата која работи зад WordPress може да одлучи да елиминира додаток од официјалниот директориум кога ќе открие некомпатибилности или други значајни елементи. Во тој момент, приклучокот повеќе нема да се ажурира, и ова, повторно, ќе ги загрози оние кои сè уште го користат тој приклучок на нивната веб-страница.

КАКО ДА СЕ АНАЛИЗИРА ПРИЛГОВИТЕ И БЕЗБЕДНОСНИ СТАНДАРДИ

Постојат неколку најдобра практика што може да се имплементира за да се зголеми безбедноста на страницата без да се откаже од практичноста на приклучоците. Иако во моментов не постои универзален протокол за развој на приклучоци способен да ја гарантира нивната автентичност и квалитет, сигурно нема недостиг од мерки на претпазливост што сите треба да ги следиме. Колку повеќе сигурност имаме, толку повисок ќе биде безбедносниот стандард на приклучокот, толку помалку сигурност ќе најдеме, толку е поголем ризикот од намалување на имунолошката одбрана на страницата откако ќе се инсталира приклучокот. L'анализа затоа мора да ги земе предвид следните точки:

• датум на последното ажурирање на приклучокот (ако е застарен, ризикот се зголемува, ако е неодамнешен, ризикот се намалува)
• компатибилност со најновата верзија на WordPress или друг CMS
• прегледи од луѓе кои го презеле приклучокот
• достапна техничка документација
• коментари на корисниците и одговори на програмерите
• официјална веб-страница на приклучокот или на компанијата што го развила

Се подразбира дека проверката извршена со малку здрав разум ви овозможува со одредена прецизност да разберете дали приклучокот е сигурен или не. Дали прегледите се негативни? Инвеститорот не одговара на прашања? Дали недостасуваат потребните документи? Дали последното ажурирање беше пред неколку години? Подобро да го пуштиш...

БЕЗБЕДНОСТ НА СИСТЕМ ЗА УПРАВУВАЊЕ СО СОДРЖИНА

Сега, кога детално ги видовме барањата за идентификување безбеден приклучок, да преминеме на прашањето за Системот за управување со содржина, т.е. системот за администрирање на содржината на страницата или виртуелниот простор (слетна страница, форум, блог, итн.). И овде не би ни требал водич, туку цела книга, бидејќи секој CMS е различен од другите, а за секој CMS се постигнати повеќе или помалку високи безбедносни стандарди, во зависност од ажурирањето што моментално се користи. Ако за WordPress неодамна стигнавме до верзијата 5.0, на пример, за Joomla! уште сме на 3.9, додека за Магенто сме блиску до 2.4. Бидете внимателни, ова не значи дека безбедноста е поголема ако бројот на верзијата е поголем: некои CMS едноставно се родиле подоцна, така што треба добро да ја знаете еволуцијата на секој од нив и да ги протолкувате расположенијата на мрежата, читајќи што е напишано за последно ажурирање.

Јасно е дека ова нема да биде единствената основа на која ќе ги базираме нашите прогнози. Ако сакаме да го добиеме максимумот во однос на безбедноста, мора да се стремиме да ја одржуваме CMS платформата ажурирана на најновата верзија: колку повеќе се оддалечуваме од најновото објавено ажурирање, толку поголеми ќе бидат ризиците за безбедноста на страницата, повторно поради дупките што се создаваат и во кои некој може да се провлече.

Како да ажурирате CMS без преземање ризици

Ажурирањето на CMS не е операција што треба лесно да се преземе, особено ако е главно издание (како што е најновата верзија на WordPress). Најдобрата стратегија е да направете резервна копија од вашите податоци веднаш пред да ја преземете и инсталирате новата верзија. Тоа е затоа што може да има конфликт помеѓу темата и CMS, или помеѓу приклучокот и CMS, со ризик од губење содржина, преводи, слики и друго. За функцијата за резервна копија вие ве молиме погледнете го претходното поглавје посветено на обичното и вонредното одржување на локацијата.

ЗАЕДНИЧКИ CMS, КОМПРЕТСКО УПРАВУВАЊЕ ИЛИ САЈТОВИ WYSIWYG?

Последното прашање што сакаме да ви го поставиме во областа на безбедноста се однесува на разликата помеѓу обичните CMS (имено WordPress, Magento, Joomla! и други), таканаречениот заштитен софтвер за управување и веб-страниците од типот „она што го гледате е она што го добивате“ ( од Jimdo до Wix преку Weebly и други). Еве резиме на безбедносниот пристап на секоја алтернатива, како резултат на нашето децениско искуство во секторот за развој и одржување на веб-локации.

•  Заеднички CMS: како што видовме, одговорноста за конфигурирање на здрава и заштитена средина паѓа во рацете на тимот кој работи на ажурирањата на CMS, но исто така и во точноста на оние кои ги следат ажурирањата на CMS и додатоците.
• Комерцијално управување: ако страницата е развиена со платформи или шифри во сопственост на веб-агенција или веб-мајстор, безбедноста речиси целосно преминува во рацете на одговорното лице, кое ќе мора да гарантира целосна усогласеност со соодветните стандарди за заштита.
• Она што го гледате е она што го добивате: овие решенија претставуваат средина помеѓу најпопуларниот CMS и приватниот софтвер за управување, бидејќи му овозможуваат на корисникот да ја контролира и управува својата страница едноставно со влечење на содржината на страницата. Одговорни за безбедноста, во овој случај, се компаниите кои развиваат WYSIWYG решенија, но бидете внимателни, бидејќи во зависност од планот за претплата помошта може да биде доволна, добра или речиси целосно отсутна.

Нашата трета епизода завршува тука. Следната длабинска анализа ќе се фокусира на актуелна тема: обработка на податоци и лични одговорности кон корисниците кои со добра волја ја посетуваат нашата веб-страница, е-трговија или блог. Подготвени? Продолжете да не следите, се гледаме наскоро!