3. fókusz: Beépülő modul és CMS biztonsági protokollok

Az elmúlt hetekben közzétett betekintéseinkben egy webhely, egy e-kereskedelem vagy egy blog biztonságával kapcsolatos néhány fő szempontra összpontosítottunk. Ezek között emlékezzünk például egy oldal tárhelyére, egy alapvető változó, amely garantálja a rendszer tökéletes működését a nap 24 órájában.De ahogy az a weben gyakran megesik, a teljes képet csak a puzzle több darabjának összerakásával lehet kapni, így nem elég csak a tárhelyszolgáltatásnál vagy a szokásos karbantartásnál megállni. Vannak mások is tényezők, amelyek meghatározzák a webhely biztonságát, és ezek közé kell sorolnunk a Tartalomkezelő rendszer bővítményeinek és platformjainak protokolljait a WordPresstől a Joomla!-ig. A beépülő modulok és a CMS valójában válhatnak a támadások és a rosszindulatú programok kapuja, ami nyilvánvaló negatív következményekkel jár a webhely hatékonyságát és az adatvesztést illetően. Lássuk tehát, hogyan előzhetjük meg ezeket a forgatókönyveket, és előtte mik a bevált gyakorlatok.

MILYEN BŐVÍTMÉNYEK, ÉS MILYEN VESZÉLYEKNEK TETTÉK KI A WEBOLDALT

A beépülő modulok piaca az elmúlt években lenyűgöző fellendülésen ment keresztül, köszönhetően a nyilvánosság elismerésének és annak, hogy sok felhasználó megismerte ezeket az integrációkat. Egy egyszerű kattintás és a plugin telepítve és aktív, készen áll a weboldal működési lehetőségeinek kiterjesztésére és bővítésére. A hírlevéltől az adatfeldolgozáshoz hozzájáruló szalaghirdetésig, a tartalom klónozásától a képek optimalizálásáig több száz és száz plugin létezik bármilyen igényre. Ugyanazok a cégek és ugyanazok a szoftver- és számítógépes programfejlesztők teszik elérhetővé termékeik funkcióit plugin formátumban is. Ez lehetővé teszi a legkevésbé tapasztalt felhasználók számára, hogy a CMS adminisztrációs paneljéről implementálják a programot, például egy terméket online értékesítsenek.

Összefoglalva, A bővítményeknek számos előnye van, odáig, hogy ezek az eszközök szinte nélkülözhetetlenek. De az előnyök mellett továbbra is van egy probléma, amelyet meg kell érteni és helyesen kell kezelni: a biztonság. Milyen okok miatt válhatnak veszélyt a beépülő modulok digitális projektje számára? Próbáljunk meg válaszolni az ismétlődő esetek rövid listájával:

•  a plugin már nem jön korszerűsített, és ez olyan hibát hoz létre, amelyet a hackerek kihasználhatnak, „belépve” az oldalra, és rosszindulatú kódsorokat szúrva be (termékek, felmérések átirányítására, teljes oldalak törlésére stb.)
• jön az eredeti plugin másolt és manipulált, csak egy cracker által létrehozott webhelyre kell feltölteni azzal a céllal, hogy elhitesse az emberekkel, hogy az igazi bővítményt töltik le. Ekkor a bővítmény telepítése az egész webhelyet veszélyezteti.
• jön a plugin törölve a hivatalos könyvtárból, de telepítve marad a webhelyére. Ez az eshetőség gyakran előfordul a WordPressben, a világ leggyakrabban használt és leghíresebb CMS-jében. Dióhéjban: a WordPress mögött álló csapat dönthet úgy, hogy eltávolít egy plugint a hivatalos könyvtárból, ha összeférhetetlenséget vagy egyéb figyelemre méltó elemet talál. Ekkor a beépülő modul már nem frissül, és ez ismét veszélybe sodorja azokat, akik továbbra is használják a bővítményt a webhelyükön.

HOGYAN KELL ELEMZNI A BŐVÜLÉKEKET ÉS A BIZTONSÁGI SZABVÁNYOKAT

Több is van legjobb gyakorlat amely megvalósítható a webhely biztonságának növelése érdekében anélkül, hogy feladnánk a bővítmények kényelmét. Bár jelenleg nincs olyan univerzális protokoll a pluginek fejlesztésére, amely garantálná azok hitelességét és minőségét, minden bizonnyal nincs hiány óvintézkedésekből, amelyeket mindannyiunknak követnünk kell. Minél több bizonyossággal rendelkezünk, annál magasabb lesz a beépülő modul biztonsági szabványa, minél kevesebb bizonyosságot találunk, annál nagyobb a kockázata annak, hogy a beépülő modul telepítése után csökken a webhely immunvédelme. L'elemzés ezért a következő szempontokat kell figyelembe venni:

• a bővítmény utolsó frissítésének dátuma (ha elavult, a kockázat nő, ha friss, a kockázat csökken)
• kompatibilitás a WordPress vagy más CMS legújabb verziójával
• vélemények azoktól, akik letöltötték a bővítményt
• műszaki dokumentáció elérhető
• felhasználói megjegyzések és fejlesztői válaszok
• a bővítmény vagy az azt kifejlesztő cég hivatalos webhelye

Magától értetődik, hogy egy kis józan ésszel végzett ellenőrzés lehetővé teszi, hogy bizonyos pontossággal megértse, hogy a bővítmény megbízható-e vagy sem. A vélemények negatívak? A fejlesztő nem válaszol a kérdésekre? Hiányoznak a szükséges dokumentumok? Az utolsó frissítés dátuma néhány éve volt? Inkább hagyd békén…

A TARTALOMMENEDZSMENT RENDSZER BIZTONSÁGA

Most, hogy részletesen láttuk a biztonságos bővítmény azonosításának követelményeit, térjünk át a Tartalomkezelő rendszer kérdésére, vagyis egy webhely vagy virtuális tér (céloldal, fórum, blog stb.) tartalomkezelő rendszerére. Itt is nem egy útmutatóra, hanem egy egész könyvre lenne szükség, mert mindegyik CMS különbözik a többitől, és minden CMS-nél többé-kevésbé magas biztonsági előírásokat értek el, az éppen használt frissítéstől függően. Ha a közelmúltban elértük a WordPress 5.0-s verzióját, például a Joomla! még mindig 3.9-nél tartunk, míg a Magento esetében a 2.4-hez közelítünk. Figyelem, ez nem jelenti azt, hogy nagyobb a biztonság, ha magasabb a verziószám: egyes CMS-ek egyszerűen csak később születtek, így mindegyiknek jól kell ismerni a fejlődését, és értelmezni kell a hálózat hangulatait, elolvasva a legújabb frissítésről írottakat.

Nyilvánvalóan nem csak erre fogjuk alapozni előrejelzéseinket. Ha a maximumot akarjuk kihozni a biztonságból, törekednünk kell arra, hogy a CMS-platformot a legújabb verzióra frissítsük: minél jobban eltávolodunk a legújabb frissítéstől, annál nagyobb kockázatot jelentenek az oldal biztonsága, ismét a keletkező lyukak miatt, amelyekbe valaki belecsúszhat.

Hogyan frissítsünk egy CMS-t kockázatvállalás nélkül

A CMS frissítése nem olyan művelet, amelyet könnyedén kell kezelni, különösen, ha jelentős kiadásról van szó (például a WordPress legújabb verziójáról). A legjobb stratégia az készítsen biztonsági másolatot adatairól közvetlenül az új verzió letöltése és telepítése előtt. Ennek az az oka, hogy ütközés léphet fel a téma és a CMS, illetve a beépülő modul és a CMS között, ami a tartalom, fordítások, képek és egyebek elvesztésének kockázatával járhat. A biztonsági mentés funkcióhoz Ön Kérjük, olvassa el az előző fejezetet, amely egy telephely rendes és rendkívüli karbantartásával foglalkozik.

KÖZÖS CMS, TULAJDONOS KEZELÉS VAGY WYSIWYG OLDALOK?

Az utolsó kérdés, amit a biztonsággal kapcsolatban fel akarunk tenni, az elterjedt CMS-ek (pontosabban WordPress, Magento, Joomla! és mások), az úgynevezett szabadalmaztatott felügyeleti rendszerek és az „amit lát, azt kap” típusú webhelyek (Jimdótól Wixig a Weebly-n és másokon keresztül) közötti különbségre vonatkozik. Az alábbiakban összefoglaljuk az egyes alternatívák biztonsági megközelítését, amely tükröződik a webhelyfejlesztés és -karbantartás terén szerzett több évtizedes tapasztalatunkon.

•  Közös CMS: mint láttuk, az egészséges és biztonságos környezet konfigurálásának felelőssége a CMS-frissítéseken dolgozó csapat kezében van, de a CMS- és a bővítményfrissítéseket figyelők pontosságán is.
• Tulajdonkezelés: ha az oldalt webügynökség vagy webmester tulajdonában lévő platformokkal vagy kódokkal fejlesztik, a biztonság szinte teljes egészében az ügyeletes kapcsolattartó kezébe kerül, akinek garantálnia kell a megfelelő védelmi szabványok maradéktalan betartását.
• Webhelyek, amit lát, azt kapja: ezek a megoldások a legnépszerűbb CMS-ek és a privát felügyeleti rendszerek keresztezését jelentik, mivel lehetővé teszik a felhasználó számára, hogy a tartalomnak az oldalra húzásával irányítsa és kezelje saját webhelyét. A biztonságért ebben az esetben a WYSIWYG megoldásokat fejlesztő cégek a felelősek, de legyen óvatos, mert az előfizetési terv szerint a segítség elegendő, jó vagy szinte teljesen hiányozhat.

Harmadik részünk itt ér véget. A következő tanulmány egy nagyon aktuális témára fog összpontosítani: adatkezelés és személyes felelősség azon felhasználók felé, akik jóhiszeműen látogatják webhelyünket, e-kereskedelmet vagy blogunkat. Kész? Kövess minket továbbra is, hamarosan találkozunk!