Фокус 3: Плагин жана CMS коопсуздук протоколдору

Акыркы жумаларда жарыялаган маалыматыбызда биз веб-сайттын, электрондук коммерциянын же блогдун коопсуздугуна тиешелүү кээ бир негизги аспектилерге токтолдук. Булардын ортосунда мисалы сайттын хостингин эстейли, тутумдун 24 саат бою кемчиликсиз иштешине кепилдик берүүчү фундаменталдуу өзгөрмө.Бирок интернетте көп кездешкендей, толук сүрөт табышмактын көбүрөөк бөлүктөрүн чогултуу менен гана алынышы мүмкүн, андыктан жөн гана хостинг же жөнөкөй тейлөө менен токтоп калуу жетишсиз. Башкалар да бар веб-сайттын коопсуздугун аныктоочу факторлор, жана булардын арасында WordPressтен Joomla!га чейин Content Management System плагиндеринин жана платформаларынын протоколдорун камтууга тийишпиз. Plugins жана CMS чындыгында болуп калышы мүмкүн чабуулдарга жана зыяндуу программаларга шлюз, сайттын натыйжалуулугу жана маалыматтардын жоголушу жагынан айкын терс кесепеттери менен. Андыктан келгиле, бул сценарийлерди кантип алдын алуу керектигин жана ага чейин кандай мыкты тажрыйбаларды ишке ашыруу керектигин карап көрөлү.

ЭМНЕ ПЛАГИНДЕР ЖАНА АЛЛАР САЙТЫҢЫЗДЫ КАНДАЙ КОРКУНУЧТУУ БОЛОТ

Плагиндер рыногу, акыркы жылдары, коомчулуктун ыраазычылыгынын жана көптөгөн колдонуучулардын бул интеграцияларга болгон тааныштыгынын аркасында таасирдүү бумду башынан өткөрдү. Жөнөкөй чыкылдатуу жана плагин орнотулган жана активдүү, веб-сайттын иштөө мүмкүнчүлүктөрүн кеңейтүүгө жана кеңейтүүгө даяр. Маалымат бюллетенинен макулдуктун баннерине чейин, маалыматтарды иштетүүгө, мазмунду клондоодон тартып сүрөттөрдү оптималдаштырууга чейин, бардык муктаждыктар үчүн жүздөгөн жана жүздөгөн плагиндер бар. Бул ошол эле компаниялар жана ошол эле программалык камсыздоону жана компьютердик программаларды иштеп чыгуучулар өздөрүнүн өнүмдөрүнүн функцияларын плагин форматында да жеткиликтүү кылат. Бул колдонуучуларга, атүгүл эң аз тажрыйбалууларга, CMS башкаруу панелинен программаны ишке ашырууга, мисалы, продуктуну онлайн сатууга мүмкүндүк берет.

Корутундусу боюнча, Плагиндердин пайдасы көп, бул куралдарды дээрлик алмаштырылгыс кылууга чейин. Бирок артыкчылыктардан тышкары, туура түшүнүү жана башкаруу керек болгон бир көйгөй бар: коопсуздук. Кандай себептерден улам плагиндер санариптик долбооруңузга коркунуч жаратышы мүмкүн? Келгиле, кайталануучу учурлардын кыскача тизмеси менен жооп берүүгө аракет кылалы:

•  плагин мындан ары келбейт такташты, жана бул хакерлер сайтка "кирүү" жана зыяндуу коддун саптарын киргизүү (өнүмдөрдү, сурамжылоолорду кайра багыттоо, барактарды толугу менен жок кылуу ж.б.)
• баштапкы плагин келет көчүрүлгөн жана манипуляцияланган, бир гана крекер тарабынан түзүлгөн сайтка жүктөө үчүн, алар чыныгы плагин жүктөп жатат деп ишенүүгө адамдарды алдоо максатында. Ошол учурда, плагинди орнотуу бүтүндөй сайттын бузулушуна алып келет.
• плагин келет жок кылынды расмий каталогдон, бирок сиздин сайтта орнотулган бойдон калууда. Мындай жагдай көбүнчө дүйнөдөгү эң көп колдонулган жана эң белгилүү CMS болгон WordPressте болот. Кыскача айтканда, WordPressтин артындагы команда дал келбестиктерди же башка көңүл бурчу элементтерди тапканда, плагинди расмий каталогдон алып салууну чечиши мүмкүн. Ошол учурда плагин мындан ары жаңыртылбайт жана бул дагы эле веб-сайтында ошол плагинди колдонгондорго коркунуч жаратат.

ПЛАГИНДЕРДИ ЖАНА КООПСУЗДУК СТАНДАРТТАРЫН КАНТИП ТАЛДОО КЕРЕК

Бир нече бар мыкты тажрыйбалар плагиндердин ыңгайлуулугунан баш тартпастан сайттын коопсуздугун жогорулатуу үчүн ишке ашырылышы мүмкүн. Учурда плагиндерди иштеп чыгуу үчүн алардын аныктыгын жана сапатына кепилдик берүүчү универсалдуу протокол жок болсо да, албетте, баарыбыз аткара турган сактык чараларынын жетишсиздиги жок. Канчалык ишеничтүүлүккө ээ болсок, плагиндин коопсуздук стандарты ошончолук жогору болот, ошончолук азыраак ишенсек, плагин орнотулгандан кийин сайттын иммундук коргонуусун төмөндөтүү коркунучу ошончолук жогору болот. L'талдоо ошондуктан төмөнкү пункттарды эске алуу керек:

• акыркы плагин жаңыртылган датасы (эски болсо, тобокелдик жогорулайт, акыркы болсо, тобокелдик азаят)
• WordPress же башка CMSтин акыркы версиясы менен шайкештик
• плагинди жүктөп алган адамдардын сын-пикирлери
• техникалык документтер бар
• колдонуучунун комментарийлери жана иштеп чыгуучунун жооптору
• плагиндин же аны иштеп чыккан компаниянын расмий сайты

Бир аз акыл-эс менен жүргүзүлгөн текшерүү плагиндин ишенимдүү же ишенбестигин белгилүү бир тактык менен түшүнүүгө мүмкүндүк берери айтпаса да түшүнүктүү. Сын-пикирлер терспи? Иштеп чыгуучу суроолорго жооп бербей жатабы? Керектүү документтер жокпу? Акыркы жаңыртуу датасы бир нече жыл мурун болгонбу? Андан көрө жайына койгула...

КОНТЕНТТИ БАШКАРУУ СИСТЕМАСЫНЫН КООПСУЗДУГУ

Эми биз коопсуз плагинди аныктоо талаптарын деталдуу көргөндөн кийин, келгиле, Контентти башкаруу тутумунун маселесине, б.а. сайттын же виртуалдык мейкиндиктин контентти башкаруу тутумуна (десант баракчасы, форум, блог ж.б.) өтөлү. Бул жерде да гид эмес, бүтүндөй китеп керек болот, анткени ар бир CMS башкалардан айырмаланып турат жана учурда колдонулуп жаткан жаңыртууга жараша ар бир CMS үчүн аздыр-көптүр жогорку коопсуздук стандарттарына жетишилген. Эгерде биз жакында WordPress үчүн 5.0 версиясына жеткен болсок, мисалы, Joomla үчүн! биз дагы эле 3.9, ал эми Magento үчүн биз 2.4 жакынбыз. Эскертүү, бул версиянын номери жогору болсо, коопсуздук чоңураак дегенди билдирбейт: кээ бир CMS жөн эле кийинчерээк пайда болгон, андыктан ар биринин эволюциясын жакшы билип, акыркы жаңыртуу жөнүндө жазылгандарды окуп, тармактын маанайын чечмелөө керек.

Биз алдын ала айтуубузду ушуга гана негиздебей турганыбыз анык. Эгер биз коопсуздук жагынан максималдуу алгыбыз келсе, биз CMS платформасын акыркы версияга жаңыртып турууга аракет кылышыбыз керек: Биз чыгарылган эң акыркы жаңыртуудан канчалык алыстасак, сайттын коопсуздугу үчүн коркунучтар ошончолук чоң болот, бул дагы пайда болгон тешиктерге жана кимдир бирөөлөр кирип кетиши мүмкүн.

CMSти тобокелге салбастан кантип жаңыртса болот

CMSти жаңыртуу оңой эле чечиле турган операция эмес, өзгөчө, эгерде ал негизги релиз болсо (мисалы, WordPressтин акыркы версиясы). Эң жакшы стратегия бул жаңы версиясын жүктөп алып, орнотуудан мурун маалыматтарыңыздын камдык көчүрмөсүн сактаңыз. Себеби тема жана CMS ортосунда же плагин менен CMS ортосунда конфликт болушу мүмкүн, мазмунду, котормолорду, сүрөттөрдү жана башкаларды жоготуп алуу коркунучу бар. Камдык сактоо функциясы үчүн сиз сайтты кадимки жана өзгөчө тейлөөгө арналган мурунку бөлүмдү караңыз.

ЖАЛПЫ CMS, ЭЭ БАШКАРУУ ЖЕ WYSIWYG САЙТТАРБЫ?

Биз сизге коопсуздук жагынан бергиси келген акыркы суроо, жалпы CMS'тердин (тактап айтканда WordPress, Magento, Joomla! жана башкалар), менчик башкаруу тутумдары деп аталган "сен эмнени көрүп жатасың, ошону аласың" тибиндеги веб-сайттардын (Джимдодон тартып Weebly аркылуу Wixке чейин жана башкалар) ортосундагы айырмага тиешелүү. Бул жерде веб-сайтты иштеп чыгуу жана тейлөө жаатындагы ондогон жылдык тажрыйбабызда чагылдырылган ар бир альтернативанын коопсуздук мамилесинин кыскача баяндамасы.

•  Жалпы CMS: биз көрүп тургандай, дени сак жана коопсуз чөйрөнү конфигурациялоо үчүн жоопкерчилик CMS жаңыртуулары боюнча иштеген команданын колунда, ошондой эле CMS жана плагин жаңыртууларын көзөмөлдөгөндөрдүн тактыгында.
• Менчик башкаруу: эгерде сайт веб-агенттикке же веб-мастерге таандык платформалар же коддор менен иштелип чыкса, коопсуздук дээрлик толугу менен нөөмөттөгү байланыштын колуна өтөт, ал адекваттуу коргоо стандарттарына толук шайкеш келүүгө кепилдик бериши керек.
• Сиз көргөн сайттар, сиз эмнени аласыз: бул чечимдер эң популярдуу CMS менен жеке башкаруу системаларынын ортосундагы кайчылашты билдирет, анткени алар колдонуучуга мазмунду баракка сүйрөп жана түшүрүү аркылуу өз сайтын башкарууга жана башкарууга мүмкүндүк берет. Бул учурда, коопсуздук үчүн жооптуу компаниялар WYSIWYG чечимдерин иштеп чыгышат, бирок сак болгула, анткени жазылуу планына ылайык, жардам жетиштүү, жакшы же дээрлик жок болушу мүмкүн.

Үчүнчү бөлүгүбүз ушул жерде аяктайт. Кийинки изилдөө абдан актуалдуу темага багытталган: маалыматтарды иштетүү жана жеке жоопкерчилик биздин веб-сайтка, электрондук коммерцияга же блогго ак ниеттүү кирген колдонуучуларга карата. Даярсызбы? Бизге жазылууну улантыңыз, жакында көрүшкөнчө!