3. fokuss: spraudņu un CMS drošības protokoli

Ieskatos, ko esam publicējuši pēdējo nedēļu laikā, mēs esam koncentrējušies uz dažiem galvenajiem aspektiem saistībā ar vietnes, e-komercijas vai emuāra drošību. Starp šiem atcerēsimies, piemēram, vietnes mitināšanu, galvenais mainīgais, lai garantētu nevainojamu sistēmas darbību 24 stundas diennaktī. Taču, kā tas bieži notiek tīmeklī, pilnīgu priekšstatu var iegūt, tikai saliekot kopā vairāk puzles gabalu, tāpēc nepietiek tikai ar hostingu vai parastu apkopi. Ir arī citi faktori, kas nosaka vietnes drošību, un starp tiem ir jāiekļauj satura pārvaldības sistēmas spraudņu un platformu protokoli, sākot no WordPress līdz Joomla!. Spraudņi un CMS faktiski var kļūt vārteja uz uzbrukumiem un ļaunprātīgu programmatūru, ar acīmredzamām negatīvām sekām vietnes efektivitātes un datu zuduma ziņā. Tātad, redzēsim, kā novērst šos scenārijus, un pirms tam, kāda ir labākā prakse, ko īstenot.

KAS IR SPraudņi UN KĀDĀM APDRAUDĒJUMIEM TIE PAKĻA JŪSU VIETNI

Pēdējos gados spraudņu tirgus ir piedzīvojis iespaidīgu uzplaukumu, pateicoties sabiedrības atzinībai un daudzu lietotāju iepazīšanai ar šīm integrācijām. Vienkāršs klikšķis, un spraudnis ir instalēts un aktīvs, gatavs paplašināt un paplašināt vietnes darbības iespējas. Sākot ar biļetenu un beidzot ar piekrišanu datu apstrādei, no satura klonēšanas līdz attēlu optimizēšanai, ir simtiem un simtiem spraudņu jebkura veida vajadzībām. Tie paši uzņēmumi un tie paši programmatūras un datorprogrammu izstrādātāji padara savu produktu funkcijas pieejamas arī spraudņu formātā. Tas ļauj lietotājiem, pat vismazāk pieredzējušajiem, ieviest programmu no CMS administrācijas paneļa, piemēram, pārdot produktu tiešsaistē.

Noslēgumā, Spraudņiem ir daudz priekšrocību, līdz tie padara šos rīkus gandrīz neaizstājamus. Taču līdzās priekšrocībām joprojām ir problēma, kas ir jāsaprot un pareizi jāpārvalda: drošība. Kādu iemeslu dēļ spraudņi var apdraudēt jūsu digitālo projektu? Mēģināsim atbildēt ar īsu atkārtotu gadījumu sarakstu:

•  spraudnis vairs nenāk atjaunināts, un tas rada trūkumus, ko hakeri var izmantot savā labā, "ieejot" vietnē un ievietojot ļaunprātīga koda rindas (lai novirzītu produktus, aptaujas, dzēstu visas lapas utt.)
• nāk oriģinālais spraudnis kopēts un manipulēts, tikai augšupielādēts vietnē, ko izveidojis krekers, lai liktu cilvēkiem noticēt, ka viņi lejupielādē īsto spraudni. Tajā brīdī spraudņa instalēšana var apdraudēt visu vietni.
• spraudnis nāk dzēsts no oficiālā direktorija, bet joprojām ir instalēta jūsu vietnē. Šāda iespēja bieži notiek WordPress, pasaulē visvairāk izmantotajā un slavenākajā SPS. Īsumā, WordPress komanda var nolemt noņemt spraudni no oficiālā direktorija, ja tā konstatē nesaderības vai citus ievērības cienīgus elementus. Tajā brīdī spraudnis vairs netiks atjaunināts, un tas atkal apdraudēs tos, kuri joprojām izmanto šo spraudni savā vietnē.

KĀ ANALIZĒT SPraudņus UN DROŠĪBAS STANDARTUS

Ir vairāki labākā prakse ko var ieviest, lai palielinātu vietnes drošību, neatsakoties no spraudņu ērtībām. Lai gan pašlaik nav universāla protokola spraudņu izstrādei, kas garantētu to autentiskumu un kvalitāti, noteikti netrūkst piesardzības pasākumu, kas mums visiem būtu jāievēro. Jo vairāk mums ir pārliecības, jo augstāks būs spraudņa drošības standarts, jo mazāk noteiktību mēs atradīsim, jo ​​lielāks risks, ka pēc spraudņa instalēšanas tiks pazemināta vietnes imūnā aizsardzība. L'analīze tāpēc jāņem vērā šādi punkti:

• pēdējā spraudņa atjaunināšanas datums (ja tas ir novecojis, risks palielinās, ja nesen, risks samazinās)
• saderība ar jaunāko WordPress vai citu CMS versiju
• atsauksmes no cilvēkiem, kuri ir lejupielādējuši spraudni
• pieejama tehniskā dokumentācija
• lietotāju komentāri un izstrādātāju atbildes
• spraudņa vai uzņēmuma, kas to izstrādājis, oficiālā vietne

Pats par sevi saprotams, ka pārbaude, kas veikta ar nelielu veselo saprātu, ļauj ar noteiktu precizitāti saprast, vai spraudnis ir uzticams vai nē. Vai atsauksmes ir negatīvas? Izstrādātājs neatbild uz jautājumiem? Vai trūkst nepieciešamo dokumentu? Vai pēdējais atjaunināšanas datums bija pirms dažiem gadiem? Labāk liec mierā...

SATURA VADĪBAS SISTĒMAS DROŠĪBA

Tagad, kad esam detalizēti redzējuši prasības droša spraudņa identificēšanai, pāriesim pie jautājuma par satura pārvaldības sistēmu, t.i., vietnes vai virtuālās telpas satura administrēšanas sistēmu (galvenā lapa, forums, emuārs utt.). Arī šeit būtu nepieciešams nevis ceļvedis, bet vesela grāmata, jo katra CMS atšķiras no pārējām, un katrai CMS ir sasniegti vairāk vai mazāk augsti drošības standarti atkarībā no pašlaik lietotā atjauninājuma. Ja nesen esam sasnieguši WordPress versiju 5.0, piemēram, Joomla! mēs joprojām esam pie 3.9, savukārt Magento esam tuvu 2.4. Brīdinājums, tas nenozīmē, ka drošība ir lielāka, ja versijas numurs ir lielāks: dažas CMS vienkārši radās vēlāk, tāpēc jums ir labi jāzina katra attīstība un jāinterpretē tīkla noskaņas, izlasot, kas rakstīts par jaunāko atjauninājumu.

Acīmredzot ne tikai uz to vien mēs balstīsim savas prognozes. Ja mēs vēlamies iegūt maksimumu drošības ziņā, mums jācenšas nodrošināt CMS platformas jaunāko versiju: jo vairāk attālināsimies no jaunākā izlaista atjauninājuma, jo lielāks būs vietnes drošības risks, atkal to caurumu dēļ, kas tiek izveidoti un kuros kāds var ielīst.

Kā atjaunināt CMS, neuzņemoties risku

SPS atjaunināšana nav viegla darbība, it īpaši, ja tā ir liela versija (piemēram, jaunākā WordPress versija). Labākā stratēģija ir dublējiet savus datus tieši pirms jaunās versijas lejupielādes un instalēšanas. Tas ir tāpēc, ka var rasties konflikts starp motīvu un SPS vai starp spraudni un SPS, radot risku zaudēt saturu, tulkojumus, attēlus un daudz ko citu. Rezerves funkcijai jūs lūdzu, skatiet iepriekšējo nodaļu, kas veltīta vietnes parastajai un ārkārtas uzturēšanai.

KOPĒJĀS SPS, ĪPAŠNIEKU PĀRVALDĪBA VAI WYSIWYG VIETNES?

Pēdējais jautājums, ko vēlamies jums uzdot saistībā ar drošību, attiecas uz atšķirību starp izplatītajām SPS (precīzi WordPress, Magento, Joomla! un citām), tā sauktajām patentētām pārvaldības sistēmām un tīmekļa vietnēm, kuras ir “tas, ko jūs redzat, tas ir tas, ko jūs saņemat” (no Jimdo uz Wix, izmantojot Weebly un citas). Šeit ir katras alternatīvas drošības pieejas kopsavilkums, kas atspoguļots mūsu gadu desmitiem ilgajā pieredzē vietņu izstrādes un uzturēšanas jomā.

•  Kopējā CMS: kā mēs redzējām, atbildība par veselīgas un drošas vides konfigurēšanu ir komandai, kas strādā ar CMS atjauninājumiem, kā arī to punktualitātei, kuri pārrauga CMS un spraudņu atjauninājumus.
• Patentēta pārvaldība: ja vietne ir izstrādāta ar platformām vai kodiem, kas pieder tīmekļa aģentūrai vai tīmekļa meistaram, drošība gandrīz pilnībā pāriet dežurējošās kontaktpersonas rokās, kurai būs jāgarantē pilnīga atbilstība atbilstošiem aizsardzības standartiem.
• Vietnes, ko redzat, ir tas, ko iegūstat: šie risinājumi ir krustojums starp populārākajām CMS un privātajām pārvaldības sistēmām, jo ​​tie ļauj lietotājam kontrolēt un pārvaldīt savu vietni, vienkārši velkot saturu uz lapu. Par drošību šajā gadījumā ir atbildīgi uzņēmumi, kas izstrādā WYSIWYG risinājumus, taču esiet uzmanīgi, jo saskaņā ar abonēšanas plānu palīdzība varētu būt pietiekama, laba vai gandrīz nemaz.

Mūsu trešā daļa beidzas šeit. Nākamajā pētījumā galvenā uzmanība tiks pievērsta ļoti aktuālai tēmai: datu apstrāde un personīgie pienākumi lietotājiem, kuri godprātīgi apmeklē mūsu vietni, e-komerciju vai emuāru. Vai esat gatavs? Turpiniet mums sekot, uz drīzu tikšanos!