Фокус 3: Plugin болон CMS аюулгүй байдлын протоколууд

Өнгөрсөн долоо хоногт нийтэлсэн мэдээлэлдээ бид вэбсайт, цахим худалдаа эсвэл блогын аюулгүй байдлын зарим гол асуудлуудад анхаарлаа хандуулсан. Эдгээрийн хооронд Жишээ нь сайт байршуулахыг санацгаая, системийн төгс ажиллагааг 24 цагийн турш баталгаажуулах үндсэн хувьсагч юм.Гэхдээ вэб дээр байнга тохиолддог тул тааварын илүү олон хэсгүүдийг нэгтгэснээр бүрэн дүр зургийг олж авах боломжтой тул зөвхөн байршуулах эсвэл энгийн засвар үйлчилгээ хийхээр зогсох нь хангалтгүй юм. Бусад нь ч бий вэб сайтын аюулгүй байдлыг тодорхойлдог хүчин зүйлүүд, мөн эдгээрийн дотор бид WordPress-ээс Joomla! хүртэлх Контент Удирдлагын Системийн залгаасууд болон платформуудын протоколуудыг оруулах ёстой. Plugins болон CMS нь үнэндээ болж болно халдлага болон хортой програм хангамжийн гарц, сайтын үр ашиг, өгөгдлийн алдагдлын хувьд илт сөрөг үр дагавартай. Тиймээс эдгээр хувилбаруудаас хэрхэн урьдчилан сэргийлэх, үүнээс өмнө хэрэгжүүлэх хамгийн сайн туршлагуудыг харцгаая.

Plugin-ууд гэж юу вэ, ТЭД ТАНЫ САЙТАНД ЯМАР АЮУЛТАЙ ВЭ

Сүүлийн жилүүдэд залгаасуудын зах зээл нь олон нийтийн талархал, эдгээр интеграцийн талаар олж мэдсэн танил байдлын ачаар гайхалтай өсөлтийг туулсан. Энгийн товшилтоор залгаасыг суулгасан бөгөөд идэвхтэй байгаа нь вэб сайтын үйл ажиллагааны боломжийг өргөтгөх, өргөжүүлэхэд бэлэн байна. Мэдээллийн товхимолоос эхлээд зөвшөөрлийн туг хүртэл өгөгдөл боловсруулах, агуулгыг клончлохоос эхлээд зургийг оновчтой болгох хүртэл ямар ч төрлийн хэрэгцээнд зориулагдсан зуу зуун залгаасууд байдаг. Бүтээгдэхүүнийхээ функцийг залгаас хэлбэрээр ашиглах боломжтой болгодог ижил компаниуд, програм хангамж, компьютерийн програм хөгжүүлэгчид юм. Энэ нь хэрэглэгчдэд, тэр ч байтугай хамгийн бага туршлагатай ч гэсэн CMS удирдлагын самбараас програмыг хэрэгжүүлэх, жишээлбэл, онлайнаар бүтээгдэхүүн борлуулах боломжийг олгодог.

Дүгнэж хэлэхэд Plugin-ийн ашиг тус нь маш олон, эдгээр хэрэгслүүдийг бараг зайлшгүй шаардлагатай болгох цэг хүртэл. Гэхдээ ашиг тусын хажуугаар зөв ойлгож, зохицуулах ёстой асуудал хэвээр байна: аюулгүй байдал. Ямар шалтгааны улмаас залгаасууд таны дижитал төсөлд аюул учруулж болох вэ? Дахин давтагдах тохиолдлуудын товч жагсаалтаар хариулахыг хичээцгээе:

•  залгаас ирэхээ больсон шинэчлэгдсэн, мөн энэ нь хакерууд өөрсдийн давуу тал болгон ашиглаж, сайт руу "нэвтрэх" болон хортой кодын мөрүүдийг оруулах (бүтээгдэхүүн, судалгааг дахин чиглүүлэх, хуудсыг бүхэлд нь устгах гэх мэт) алдаа үүсгэдэг.
• анхны залгаас ирдэг хуулж, өөрчилсөн, зөвхөн жинхэнэ залгаасыг татаж байна гэж хүмүүсийг хууран мэхлэх зорилгоор кракерын үүсгэсэн сайтад байршуулах болно. Энэ үед залгаасыг суулгах нь сайтыг бүхэлд нь сүйтгэх эрсдэлтэй.
• залгаас ирдэг устгасан албан ёсны лавлахаас авсан боловч таны сайт дээр суулгасан хэвээр байна. Энэ нь дэлхийн хамгийн алдартай, хамгийн алдартай CMS болох WordPress дээр ихэвчлэн тохиолддог. Товчхондоо, WordPress-ийн ард байгаа баг тохирохгүй байдал эсвэл бусад анхаарал татахуйц элементүүдийг олсон тохиолдолд албан ёсны лавлахаас залгаасыг устгахаар шийдэж болно. Энэ үед залгаас шинэчлэгдэхээ больсон бөгөөд энэ нь вэб сайт дээрээ уг залгаасыг ашигласаар байгаа хүмүүст аюул учруулах болно.

PLAGIN, АЮУЛГҮЙ БАЙДЛЫН СТАНДАРТАНД ХЭРХЭН ШИНЖИЛГЭЭ ХИЙХ ВЭ

Хэд хэдэн байна шилдэг туршлага залгаасуудын тав тухыг алдалгүйгээр сайтын аюулгүй байдлыг нэмэгдүүлэхийн тулд хэрэгжүүлж болох юм. Хэдийгээр залгаасуудын жинхэнэ чанар, чанарыг баталгаажуулах бүх нийтийн протокол одоогоор байхгүй байгаа ч бид бүгд дагаж мөрдөх ёстой урьдчилан сэргийлэх арга хэмжээнүүд хомс байх нь гарцаагүй. Бид илүү итгэлтэй байх тусам залгаасын аюулгүй байдлын стандарт өндөр байх тусам бидний олж мэдсэн зүйл бага байх тусам залгаасыг суулгасны дараа сайтын дархлааны хамгаалалт буурах эрсдэл өндөр болно. L'дүн шинжилгээ хийх Тиймээс дараахь зүйлийг анхаарч үзэх хэрэгтэй.

• залгаасын сүүлийн шинэчлэлтийн огноо (хуучирсан бол эрсдэл нэмэгдэж, саяхан бол эрсдэл буурна)
• WordPress эсвэл бусад CMS-ийн хамгийн сүүлийн хувилбартай нийцтэй байх
• залгаасыг татаж авсан хүмүүсийн сэтгэгдэл
• техникийн баримт бичиг байгаа
• хэрэглэгчийн сэтгэгдэл болон хөгжүүлэгчийн хариулт
• залгаас эсвэл түүнийг боловсруулсан компанийн албан ёсны вэбсайт

Бага зэрэг эрүүл саруул ухаанаар хийсэн шалгалт нь залгаас найдвартай эсэхийг тодорхой нарийвчлалтайгаар ойлгох боломжийг танд олгоно. Шүүмж сөрөг байна уу? Хөгжүүлэгч асуултуудад хариулахгүй байна уу? Шаардлагатай бичиг баримт дутуу байна уу? Сүүлийн шинэчлэлт хэдэн жилийн өмнө байсан уу? Зүгээр орхисон нь дээр...

АГУУЛГЫН МЕНЕЖМЕНТИЙН СИСТЕМИЙН АЮУЛГҮЙ БАЙДАЛ

Одоо бид аюулгүй залгаасыг тодорхойлоход тавигдах шаардлагуудыг нарийвчлан үзсэн тул Агуулгын удирдлагын систем, тухайлбал сайт эсвэл виртуал орон зайн контентын удирдлагын систем (газар хуудас, форум, блог гэх мэт) рүү шилжье. Энд бас гарын авлага биш, харин бүхэл бүтэн ном хэрэгтэй болно, учир нь CMS бүр бусдаас ялгаатай бөгөөд одоо ашиглагдаж буй шинэчлэлтээс хамааран CMS бүрийн аюулгүй байдлын өндөр эсвэл бага стандартыг хангасан. Хэрэв бид саяхан WordPress-ийн 5.0 хувилбарт хүрсэн бол жишээ нь Joomla! Бид 3.9-тэй хэвээр байгаа бол Магентогийн хувьд бид 2.4-тэй ойролцоо байна. Анхааруулга, энэ нь хувилбарын дугаар өндөр байвал аюулгүй байдал илүү өндөр байна гэсэн үг биш юм: зарим CMS нь зүгээр л дараа нь төрсөн тул та тус бүрийн хувьслыг сайн мэдэж, хамгийн сүүлийн үеийн шинэчлэлтийн талаар бичсэн зүйлийг уншиж, сүлжээний төлөв байдлыг тайлбарлах хэрэгтэй.

Зөвхөн үүн дээр тулгуурлахгүй нь тодорхой. Аюулгүй байдлын үүднээс дээд зэргээр авахыг хүсвэл бид CMS платформыг хамгийн сүүлийн үеийн хувилбар болгон шинэчлэхийг хичээх ёстой: Бид хамгийн сүүлийн үеийн шинэчлэлтээс холдох тусам сайтын аюулгүй байдалд эрсдэл их байх болно. Энэ нь нүхнүүд үүссэн бөгөөд хэн нэгэн рүү хальтрах боломжтой.

CMS-ийг эрсдэлгүйгээр хэрхэн шинэчлэх вэ

CMS-ийг шинэчлэх нь ялангуяа томоохон хувилбар (WordPress-ийн хамгийн сүүлийн хувилбар гэх мэт) бол тийм ч хялбархан шийдэх ажил биш юм. Хамгийн сайн стратеги бол Шинэ хувилбарыг татаж суулгахын өмнөхөн мэдээллээ нөөцөлж аваарай. Учир нь сэдэв болон CMS, эсвэл залгаас болон CMS хооронд зөрчил үүсч, агуулга, орчуулга, зураг болон бусад зүйлийг алдах эрсдэлтэй байж болно. Нөөцлөх функцийн хувьд та сайтын ердийн болон онцгой засвар үйлчилгээтэй холбоотой өмнөх бүлгээс үзнэ үү.

НЭГДСЭН CMS, ЭЗЭНИЙН УДИРДЛАГА ЭСВЭЛ WYSIWYG САЙТ УУ?

Аюулгүй байдлын талаар бид танаас асуухыг хүссэн хамгийн сүүлийн асуулт бол нийтлэг CMS (яг WordPress, Magento, Joomla! болон бусад), өмчийн менежментийн систем гэж нэрлэгддэг "Та юу харж байна, тэр нь таны олж авдаг" төрлийн вэб сайтууд (Jimdo-аас Wix хүртэл Weebly болон бусад) хоорондын ялгаа юм. Вэбсайт хөгжүүлэлт, засвар үйлчилгээний чиглэлээр олон арван жилийн туршлагаас харагдсан хувилбар бүрийн аюулгүй байдлын арга барилын хураангуйг энд оруулав.

•  Нийтлэг CMS: Бидний харж байгаагаар эрүүл, аюулгүй орчныг тохируулах үүрэг нь CMS шинэчлэлт дээр ажиллаж буй багийн гарт, харин CMS болон залгаасын шинэчлэлтийг цаг тухайд нь хянаж байдаг хүмүүсийн гарт ногддог.
• Өмчийн менежмент: Хэрэв сайт нь вэб агентлаг эсвэл вэб мастерийн эзэмшдэг платформ эсвэл кодоор бүтээгдсэн бол аюулгүй байдал нь холбогдох хамгаалалтын стандартыг бүрэн дагаж мөрдөхийг баталгаажуулах үүрэг бүхий холбогдох хүний ​​гарт бараг бүрэн шилждэг.
• Таны харж байгаа сайтууд: Эдгээр шийдлүүд нь хамгийн алдартай CMS болон хувийн удирдлагын системүүдийн хоорондын зааглалыг илэрхийлдэг, учир нь тэдгээр нь хэрэглэгчдэд контентыг зүгээр л хуудас руу чирж өөрийн сайтыг хянах, удирдах боломжийг олгодог. Энэ тохиолдолд WYSIWYG шийдлүүдийг боловсруулдаг компаниуд аюулгүй байдлыг хариуцдаг боловч болгоомжтой байгаарай, учир нь захиалгын төлөвлөгөөний дагуу тусламж хангалттай, сайн эсвэл бараг байхгүй байж болно.

Бидний гурав дахь хэсэг энд дуусч байна. Дараагийн судалгаа нь маш чухал сэдэвт анхаарлаа хандуулах болно: мэдээлэл боловсруулах, хувийн үүрэг хариуцлага Манай вэбсайт, цахим худалдаа, блогт сайн санааны үүднээс зочилдог хэрэглэгчдэд зориулав. Бэлэн үү? Биднийг дагаж байгаарай, удахгүй уулзацгаая!