ფოკუსი 3: დანამატი და CMS უსაფრთხოების პროტოკოლები

გასულ კვირებში გამოქვეყნებულ შეხედულებებში, ჩვენ ყურადღება გავამახვილეთ ზოგიერთ მთავარ ასპექტზე ვებსაიტის, ელექტრონული კომერციის ან ბლოგის უსაფრთხოებასთან დაკავშირებით. ამათ შორის გავიხსენოთ მაგალითად საიტის ჰოსტინგი, ფუნდამენტური ცვლადი, რომელიც უზრუნველყოფს სისტემის სრულყოფილ ფუნქციონირებას 24 საათის განმავლობაში. მაგრამ, როგორც ხშირად ხდება ინტერნეტში, სრული სურათის მიღება შესაძლებელია მხოლოდ თავსატეხის მეტი ნაწილის შეკრებით, ამიტომ საკმარისი არ არის მხოლოდ ჰოსტინგის ან ჩვეულებრივი მოვლა-პატრონობის შეჩერება. არიან სხვებიც ფაქტორები, რომლებიც განსაზღვრავენ ვებსაიტის უსაფრთხოებასდა მათ შორის უნდა შევიტანოთ კონტენტის მართვის სისტემის დანამატებისა და პლატფორმების პროტოკოლები, WordPress-დან Joomla!-მდე. პლაგინები და CMS შეიძლება რეალურად იქცეს შეტევებისა და მავნე პროგრამების კარიბჭე, აშკარა უარყოფითი შედეგებით საიტის ეფექტურობისა და მონაცემთა დაკარგვის თვალსაზრისით. მოდით ვნახოთ, როგორ ავიცილოთ თავიდან ეს სცენარები და მანამდე რა არის საუკეთესო პრაქტიკის განხორციელება.

რა არის დანამატები და რა საფრთხეებს უქმნიან ისინი თქვენს საიტს

მოდულების ბაზარმა, ბოლო წლებში, განიცადა შთამბეჭდავი ბუმი, საზოგადოების მადლიერებისა და ნაცნობობის წყალობით, რომელიც ბევრმა მომხმარებელმა მოიპოვა ამ ინტეგრაციების მიმართ. მარტივი დაწკაპუნებით და დანამატი დაინსტალირებული და აქტიურია, მზად არის გააფართოვოს და გააფართოვოს ვებსაიტის ოპერატიული შესაძლებლობები. ბიულეტენიდან მონაცემთა დამუშავებაზე თანხმობის ბანერამდე, შინაარსის კლონირებიდან სურათების ოპტიმიზაციამდე, არსებობს ასობით და ასობით მოდული ნებისმიერი ტიპის საჭიროებისთვის. ეს არის იგივე კომპანიები და იგივე პროგრამული უზრუნველყოფის და კომპიუტერული პროგრამების შემქმნელები, რომლებიც თავიანთი პროდუქციის ფუნქციებს ხელმისაწვდომს ხდიან ასევე დანამატის ფორმატში. ეს საშუალებას აძლევს მომხმარებლებს, თუნდაც ყველაზე ნაკლებად გამოცდილებს, განახორციელონ პროგრამა CMS ადმინისტრაციული პანელიდან, მაგალითად, გაყიდონ პროდუქტი ონლაინ რეჟიმში.

Საბოლოოდ, დანამატების სარგებელი ბევრია, იმდენად, რამდენადაც ეს ხელსაწყოები თითქმის შეუცვლელია. მაგრამ უპირატესობებთან ერთად რჩება პრობლემა, რომელიც უნდა იქნას გაგებული და სწორად მართვა: უსაფრთხოება. რა მიზეზების გამო შეიძლება დანამატები გახდეს საფრთხე თქვენი ციფრული პროექტისთვის? შევეცადოთ ვუპასუხოთ განმეორებადი შემთხვევების მოკლე სიით:

•  დანამატი აღარ მოდის განახლებულია, და ეს ქმნის ხარვეზს, რომელიც ჰაკერებს შეუძლიათ გამოიყენონ თავიანთი სასარგებლოდ, საიტზე „შევიდნენ“ და მავნე კოდის ხაზების ჩასმა (პროდუქტების გადამისამართება, გამოკითხვები, მთელი გვერდების წაშლა და ა.შ.)
• მოდის ორიგინალური მოდული კოპირებული და მანიპულირებული, მხოლოდ კრეკერის მიერ შექმნილ საიტზე ატვირთვის მიზნით, ხალხის მოტყუების მიზნით, რომ ისინი ატვირთონ რეალურ დანამატს. იმ მომენტში, მოდულის დაყენება მთელი საიტის კომპრომეტირებას რისკავს.
• მოდული მოდის წაშლილია ოფიციალური დირექტორიადან, მაგრამ დაინსტალირებული რჩება თქვენს საიტზე. ეს მოვლენა ხშირად ხდება WordPress-ში, მსოფლიოში ყველაზე გამოყენებულ და ყველაზე ცნობილ CMS-ში. მოკლედ, WordPress-ის უკან მყოფ გუნდს შეუძლია გადაწყვიტოს მოდულის ამოღება ოფიციალური დირექტორიადან, როდესაც აღმოაჩენს შეუთავსებლობას ან სხვა საყურადღებო ელემენტებს. ამ დროს მოდული აღარ განახლდება და ეს კვლავ საფრთხეს შეუქმნის მათ, ვინც კვლავ იყენებს ამ დანამატს საკუთარ ვებსაიტზე.

როგორ გავაანალიზოთ დანამატები და უსაფრთხოების სტანდარტები

Არსებობს რამდენიმე საუკეთესო პრაქტიკა რომელიც შეიძლება განხორციელდეს საიტის უსაფრთხოების გასაზრდელად დანამატების მოხერხებულობის დათმობის გარეშე. მიუხედავად იმისა, რომ ამჟამად არ არსებობს უნივერსალური პროტოკოლი დანამატების შემუშავებისთვის, რომელიც უზრუნველყოფს მათი ავთენტურობისა და ხარისხის გარანტიას, რა თქმა უნდა არ არის სიფრთხილის ზომების ნაკლებობა, რომელიც ყველა ჩვენგანმა უნდა დაიცვას. რაც უფრო მეტი დარწმუნება გვექნება, მით უფრო მაღალი იქნება დანამატის უსაფრთხოების სტანდარტი, რაც უფრო ნაკლებს ვიპოვით, მით უფრო მაღალია საიტის იმუნური დაცვის შემცირების რისკი მოდულის დაინსტალირების შემდეგ. L'ანალიზი ამიტომ უნდა გაითვალისწინოთ შემდეგი პუნქტები:

• მოდულის ბოლო განახლების თარიღი (თუ მოძველებულია, რისკი იზრდება, თუ ბოლო დროს, რისკი მცირდება)
• თავსებადობა WordPress-ის ან სხვა CMS-ის უახლეს ვერსიასთან
• მიმოხილვები იმ ადამიანებისგან, რომლებმაც ჩამოტვირთეს დანამატი
• ტექნიკური დოკუმენტაცია ხელმისაწვდომია
• მომხმარებლის კომენტარები და დეველოპერის პასუხები
• მოდულის ოფიციალურ ვებსაიტზე ან კომპანიის შემქმნელმა

ცხადია, რომ მცირე საღი აზრით ჩატარებული შემოწმება საშუალებას გაძლევთ გაიგოთ გარკვეული სიზუსტით, სანდოა თუ არა დანამატი. მიმოხილვები უარყოფითია? დეველოპერი არ პასუხობს კითხვებს? აკლია თუ არა საჭირო დოკუმენტები? ბოლო განახლების თარიღი იყო რამდენიმე წლის წინ? ჯობია თავი დაანებოთ...

კონტენტის მენეჯმენტის სისტემის უსაფრთხოება

ახლა, როცა დეტალურად დავინახეთ უსაფრთხო მოდულის იდენტიფიკაციის მოთხოვნები, გადავიდეთ კონტენტ მენეჯმენტის სისტემის საკითხზე, ანუ საიტის ან ვირტუალური სივრცის კონტენტის ადმინისტრირების სისტემაზე (სადესანტო გვერდი, ფორუმი, ბლოგი და ა.შ.). აქაც დასჭირდება არა სახელმძღვანელო, არამედ მთელი წიგნი, რადგან თითოეული CMS განსხვავდება სხვებისგან და მეტ-ნაკლებად მაღალი უსაფრთხოების სტანდარტები მიღწეულია თითოეული CMS-ისთვის, რაც დამოკიდებულია ამჟამად გამოყენებული განახლებაზე. თუ ჩვენ ახლახან მივაღწიეთ 5.0 ვერსიას WordPress-ისთვის, მაგალითად, Joomla-სთვის! ჩვენ ისევ 3.9-ზე ვართ, მაგენტოსთვის კი 2.4-თან ახლოს ვართ. გაფრთხილება, ეს არ ნიშნავს, რომ უსაფრთხოება უფრო მაღალია, თუ ვერსიის ნომერი უფრო მაღალია: ზოგიერთი CMS უბრალოდ მოგვიანებით დაიბადა, ასე რომ თქვენ კარგად უნდა იცოდეთ თითოეულის ევოლუცია და ინტერპრეტაცია გააკეთოთ ქსელის განწყობაზე, წაიკითხოთ რა წერია უახლესი განახლების შესახებ.

აშკარად არ იქნება მხოლოდ ამაზე დაფუძნებული ჩვენი პროგნოზები. თუ გვინდა მაქსიმუმის მიღება უსაფრთხოების კუთხით, ჩვენ უნდა ვეცადოთ, რომ CMS პლატფორმა განახლდეს უახლესი ვერსიით: რაც უფრო მეტად დავშორდებით გამოქვეყნებულ უახლეს განახლებას, მით უფრო დიდი იქნება რისკები საიტის უსაფრთხოებისთვის, ისევ იმ ხვრელების გამო, რომლებიც იქმნება და რომლებშიც შეიძლება ვინმემ გადაიჩეხოს.

როგორ განაახლოთ CMS რისკის გარეშე

CMS-ის განახლება არ არის ოპერაცია, რომელსაც მსუბუქად უნდა მივუდგეთ, განსაკუთრებით თუ ეს არის ძირითადი გამოშვება (როგორიცაა WordPress-ის უახლესი ვერსია). საუკეთესო სტრატეგია არის შექმენით თქვენი მონაცემების სარეზერვო ასლი ახალი ვერსიის ჩამოტვირთვამდე და ინსტალაციამდე. ეს იმიტომ ხდება, რომ შეიძლება იყოს კონფლიქტი თემასა და CMS-ს, ან დანამატსა და CMS-ს შორის, კონტენტის, თარგმანის, სურათების და სხვათა დაკარგვის რისკით. სარეზერვო ფუნქციისთვის თქვენ გთხოვთ, იხილოთ წინა თავი, რომელიც ეძღვნება საიტის ჩვეულებრივ და არაჩვეულებრივ მოვლას.

საერთო CMS, მფლობელის მენეჯმენტი თუ WYSIWYG საიტები?

ბოლო შეკითხვა, რომელიც გვინდა დაგისვათ უსაფრთხოების კუთხით, ეხება განსხვავებას საერთო CMS-ებს შორის (ზუსტად WordPress, Magento, Joomla! და სხვა), ეგრეთ წოდებული საკუთრების მართვის სისტემებსა და ვებსაიტებს შორის „რას ხედავთ არის ის, რასაც იღებთ“ (Jimdo-დან Wix-მდე Weebly-ის მეშვეობით და სხვა). აქ მოცემულია თითოეული ალტერნატივის უსაფრთხოების მიდგომის შეჯამება, რაც აისახება ჩვენს ათწლეულების გამოცდილებაში ვებსაიტების შემუშავებისა და შენარჩუნების სფეროში.

•  ჩვეულებრივი CMS: როგორც ვნახეთ, ჯანსაღი და უსაფრთხო გარემოს კონფიგურაციის პასუხისმგებლობა ეკისრება CMS განახლებებზე მომუშავე გუნდს, მაგრამ ასევე მათ პუნქტუალურობას, ვინც აკონტროლებს CMS და დანამატების განახლებებს.
• საკუთრების მენეჯმენტი: თუ საიტი შემუშავებულია ვებ სააგენტოს ან ვებ ოსტატის საკუთრებაში არსებული პლატფორმებით ან კოდებით, უსაფრთხოება თითქმის მთლიანად გადადის მორიგე საკონტაქტო პირის ხელში, რომელმაც უნდა უზრუნველყოს დაცვის ადეკვატური სტანდარტების სრული დაცვა.
• საიტები რასაც ხედავთ არის ის, რასაც იღებთ: ეს გადაწყვეტილებები წარმოადგენს ჯვარედინი ყველაზე პოპულარულ CMS და კერძო მენეჯმენტის სისტემებს შორის, რადგან ისინი საშუალებას აძლევს მომხმარებელს გააკონტროლოს და მართოს საკუთარი საიტი უბრალოდ შიგთავსის გვერდზე გადატანით. ამ შემთხვევაში, უსაფრთხოებაზე პასუხისმგებელი არიან კომპანიები, რომლებიც ავითარებენ WYSIWYG გადაწყვეტილებებს, მაგრამ ფრთხილად იყავით, რადგან სააბონენტო გეგმიდან გამომდინარე, დახმარება შეიძლება იყოს საკმარისი, კარგი ან თითქმის სრულიად არ იყოს.

ჩვენი მესამე ნაწილი აქ მთავრდება. შემდეგი კვლევა ფოკუსირებული იქნება უაღრესად აქტუალურ თემაზე: მონაცემთა დამუშავება და პირადი პასუხისმგებლობა მომხმარებლების მიმართ, რომლებიც კეთილსინდისიერად სტუმრობენ ჩვენს ვებსაიტს, ელექტრონულ კომერციას ან ბლოგს. მზადაა? განაგრძეთ თვალყური, გნახავთ მალე!