Εστίαση 3: Πρωτόκολλα ασφαλείας προσθηκών και CMS

Στις πληροφορίες που δημοσιεύσαμε τις τελευταίες εβδομάδες, έχουμε επικεντρωθεί σε ορισμένες από τις κύριες πτυχές που αφορούν την ασφάλεια ενός ιστότοπου, ενός ηλεκτρονικού εμπορίου ή ενός ιστολογίου. Μεταξύ αυτών ας θυμηθούμε για παράδειγμα τη φιλοξενία ενός site, μια θεμελιώδης μεταβλητή που εγγυάται την τέλεια λειτουργία του συστήματος 24 ώρες το 24ωρο. Όμως, όπως συμβαίνει συχνά στον Ιστό, η πλήρης εικόνα μπορεί να επιτευχθεί μόνο με τη συνένωση περισσότερων κομματιών του παζλ, επομένως δεν αρκεί να σταματήσουμε μόνο στη φιλοξενία ή στην απλή συντήρηση. Υπάρχουν κι άλλοι παράγοντες που καθορίζουν την ασφάλεια μιας ιστοσελίδας, και μεταξύ αυτών πρέπει να συμπεριλάβουμε τα πρωτόκολλα των πρόσθετων και των πλατφορμών του Συστήματος Διαχείρισης Περιεχομένου, από το WordPress μέχρι το Joomla!. Πρόσθετα και CMS μπορούν στην πραγματικότητα να γίνουν η πύλη για επιθέσεις και κακόβουλο λογισμικό, με εμφανείς αρνητικές επιπτώσεις όσον αφορά την αποτελεσματικότητα του ιστότοπου και την απώλεια δεδομένων. Ας δούμε λοιπόν πώς να αποτρέψουμε αυτά τα σενάρια και πριν από αυτό ποιες είναι οι βέλτιστες πρακτικές για εφαρμογή.

ΤΙ ΕΙΝΑΙ ΤΑ PLUGIN ΚΑΙ ΣΕ ΠΟΙΟΥΣ ΚΙΝΔΥΝΟΥΣ ΕΚΘΕΤΟΥΝ ΤΟΝ ΙΣΤΟΤΟΠΟ ΣΑΣ

Η αγορά των προσθηκών, τα τελευταία χρόνια, γνώρισε μια εντυπωσιακή άνθηση, χάρη στην εκτίμηση του κοινού και την εξοικείωση που έχουν αποκτήσει πολλοί χρήστες απέναντι σε αυτές τις ενσωματώσεις. Ένα απλό κλικ και το plugin είναι εγκατεστημένο και ενεργό, έτοιμο να επεκτείνει και να επεκτείνει τις λειτουργικές δυνατότητες του ιστότοπου. Από το ενημερωτικό δελτίο μέχρι το banner της συναίνεσης για την επεξεργασία δεδομένων, από την κλωνοποίηση περιεχομένου έως τη βελτιστοποίηση εικόνων, υπάρχουν εκατοντάδες και εκατοντάδες πρόσθετα για κάθε είδους ανάγκη. Είναι οι ίδιες εταιρείες και οι ίδιοι προγραμματιστές λογισμικού και προγραμμάτων υπολογιστών που κάνουν τις λειτουργίες των προϊόντων τους διαθέσιμες και σε μορφή plugin. Αυτό επιτρέπει στους χρήστες, ακόμη και στους λιγότερο έμπειρους, να εφαρμόσουν το πρόγραμμα από τον πίνακα διαχείρισης CMS, για παράδειγμα να πουλήσουν ένα προϊόν στο διαδίκτυο.

Με λίγα λόγια, Τα οφέλη των πρόσθετων είναι πολλά, σε σημείο που να κάνει αυτά τα εργαλεία σχεδόν απαραίτητα. Όμως, παράλληλα με τα οφέλη, παραμένει ένα πρόβλημα που πρέπει να κατανοηθεί και να διαχειριστεί σωστά: η ασφάλεια. Για ποιους λόγους τα πρόσθετα μπορούν να αποτελέσουν κίνδυνο για το ψηφιακό σας έργο; Ας προσπαθήσουμε να απαντήσουμε με μια σύντομη λίστα επαναλαμβανόμενων περιπτώσεων:

•  το πρόσθετο δεν έρχεται πια ΕΠΙΚΑΙΡΟΠΟΙΗΜΕΝΟ, και αυτό δημιουργεί ένα ελάττωμα που οι χάκερ μπορούν να εκμεταλλευτούν προς όφελός τους, «μπαίνοντας» στον ιστότοπο και εισάγοντας γραμμές κακόβουλου κώδικα (για ανακατεύθυνση προϊόντων, έρευνες, για διαγραφή ολόκληρων σελίδων κ.λπ.)
• έρχεται το αρχικό πρόσθετο αντιγραφή και χειραγώγηση, μόνο για να μεταφορτωθεί σε έναν ιστότοπο που δημιουργήθηκε από ένα cracker με σκοπό να εξαπατήσει τους ανθρώπους να πιστέψουν ότι κατεβάζουν το πραγματικό πρόσθετο. Σε εκείνο το σημείο, η εγκατάσταση της προσθήκης κινδυνεύει να διακυβεύσει ολόκληρο τον ιστότοπο.
• έρχεται το πρόσθετο διαγράφονται από τον επίσημο κατάλογο, αλλά παραμένει εγκατεστημένο στον ιστότοπό σας. Αυτό το ενδεχόμενο συμβαίνει συχνά στο WordPress, το πιο χρησιμοποιούμενο και πιο διάσημο CMS στον κόσμο. Με λίγα λόγια, η ομάδα πίσω από το WordPress μπορεί να αποφασίσει να αφαιρέσει ένα πρόσθετο από τον επίσημο κατάλογο όταν εντοπίσει ασυμβατότητες ή άλλα αξιοσημείωτα στοιχεία. Σε εκείνο το σημείο η προσθήκη δεν θα ενημερώνεται πλέον και αυτό, πάλι, θα θέσει σε κίνδυνο όσους εξακολουθούν να χρησιμοποιούν αυτήν την προσθήκη στον ιστότοπό τους.

ΠΩΣ ΝΑ ΑΝΑΛΥΣΕΤΕ ΠΡΟΣΘΕΤΑ ΚΑΙ ΠΡΟΤΥΠΑ ΑΣΦΑΛΕΙΑΣ

Υπάρχουν πολλά βέλτιστων πρακτικών που μπορεί να εφαρμοστεί για να αυξηθεί η ασφάλεια του ιστότοπου χωρίς να εγκαταλείψουμε την ευκολία των πρόσθετων. Αν και δεν υπάρχει επί του παρόντος καθολικό πρωτόκολλο για την ανάπτυξη πρόσθετων που να εγγυάται την αυθεντικότητα και την ποιότητά τους, σίγουρα δεν λείπουν οι προφυλάξεις που πρέπει να ακολουθούμε όλοι μας. Όσο περισσότερες βεβαιότητες έχουμε, τόσο υψηλότερο θα είναι το πρότυπο ασφαλείας του πρόσθετου, όσο λιγότερες βεβαιότητες βρίσκουμε, τόσο μεγαλύτερος είναι ο κίνδυνος μείωσης της ανοσολογικής άμυνας του ιστότοπου μόλις εγκατασταθεί η προσθήκη. ΜΕΓΑΛΟ'ανάλυση πρέπει λοιπόν να ληφθούν υπόψη τα ακόλουθα σημεία:

• ημερομηνία τελευταίας ενημέρωσης προσθήκης (εάν είναι απαρχαιωμένο, ο κίνδυνος αυξάνεται, εάν είναι πρόσφατος, ο κίνδυνος μειώνεται)
• συμβατότητα με την πιο πρόσφατη έκδοση του WordPress ή άλλου CMS
• κριτικές από άτομα που έχουν κατεβάσει την προσθήκη
• διαθέσιμη τεχνική τεκμηρίωση
• σχόλια χρηστών και απαντήσεις προγραμματιστών
• επίσημος ιστότοπος του πρόσθετου ή της εταιρείας που το ανέπτυξε

Είναι αυτονόητο ότι ένας έλεγχος που πραγματοποιείται με λίγη κοινή λογική σάς επιτρέπει να κατανοήσετε με συγκεκριμένη ακρίβεια εάν το πρόσθετο είναι αξιόπιστο ή όχι. Είναι αρνητικές οι κριτικές; Ο προγραμματιστής δεν απαντά σε ερωτήσεις; Λείπουν τα απαιτούμενα έγγραφα; Ήταν η τελευταία ημερομηνία ενημέρωσης πριν από μερικά χρόνια; Καλύτερα να το αφήσεις…

Η ΑΣΦΑΛΕΙΑ ΕΝΟΣ ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΧΕΙΡΙΣΗΣ ΠΕΡΙΕΧΟΜΕΝΟΥ

Τώρα που είδαμε αναλυτικά τις απαιτήσεις για τον προσδιορισμό ενός ασφαλούς πρόσθετου, ας περάσουμε στο θέμα του Συστήματος Διαχείρισης Περιεχομένου, δηλαδή του συστήματος διαχείρισης περιεχομένου ενός ιστότοπου ή εικονικού χώρου (σελίδα προορισμού, φόρουμ, ιστολόγιο κ.λπ.). Και εδώ θα χρειαζόταν όχι ένας οδηγός αλλά ένα ολόκληρο βιβλίο, γιατί κάθε CMS είναι διαφορετικό από τα άλλα και έχουν επιτευχθεί λίγο πολύ υψηλά πρότυπα ασφαλείας για κάθε CMS, ανάλογα με την ενημέρωση που χρησιμοποιείται αυτήν τη στιγμή. Εάν φτάσαμε πρόσφατα στην έκδοση 5.0 για το WordPress, για παράδειγμα, για το Joomla! είμαστε ακόμα στο 3.9, ενώ για το Magento είμαστε κοντά στο 2.4. Προειδοποίηση, αυτό δεν σημαίνει ότι η ασφάλεια είναι μεγαλύτερη εάν ο αριθμός έκδοσης είναι υψηλότερος: ορισμένα CMS απλά γεννήθηκαν αργότερα, επομένως πρέπει να γνωρίζετε την εξέλιξη του καθενός καλά και να ερμηνεύσετε τις διαθέσεις του δικτύου, διαβάζοντας τι γράφεται για την τελευταία ενημέρωση.

Προφανώς δεν θα βασίσουμε τις προβλέψεις μας μόνο σε αυτό. Αν θέλουμε να πάρουμε το μέγιστο όσον αφορά την ασφάλεια, πρέπει να προσπαθήσουμε να διατηρήσουμε την πλατφόρμα CMS ενημερωμένη στην πιο πρόσφατη έκδοση: όσο περισσότερο απομακρυνόμαστε από την τελευταία ενημέρωση που κυκλοφόρησε, τόσο μεγαλύτεροι θα είναι οι κίνδυνοι για την ασφάλεια του ιστότοπου, και πάλι λόγω των τρυπών που δημιουργούνται και στις οποίες κάποιος μπορεί να γλιστρήσει.

Πώς να ενημερώσετε ένα CMS χωρίς να αναλάβετε κινδύνους

Η ενημέρωση ενός CMS δεν είναι μια λειτουργία που πρέπει να αντιμετωπίζεται επιπόλαια, ειδικά εάν πρόκειται για μια σημαντική έκδοση (όπως η πιο πρόσφατη έκδοση του WordPress). Η καλύτερη στρατηγική είναι να δημιουργήστε αντίγραφα ασφαλείας των δεδομένων σας λίγο πριν κάνετε λήψη και εγκατάσταση της νέας έκδοσης. Αυτό συμβαίνει επειδή θα μπορούσε να υπάρξει διένεξη μεταξύ θέματος και CMS ή μεταξύ προσθήκης και CMS, με κίνδυνο απώλειας περιεχομένου, μεταφράσεων, εικόνων και άλλων. Για τη λειτουργία δημιουργίας αντιγράφων ασφαλείας σας ανατρέξτε στο προηγούμενο κεφάλαιο αφιερωμένο στη συνήθη και έκτακτη συντήρηση ενός ιστότοπου.

ΚΟΙΝΟ CMS, ΔΙΑΧΕΙΡΙΣΗ ΙΔΙΟΚΤΗΤΗ Ή ΙΣΤΟΤΟΠΟΙ WYSIWYG;

Η τελευταία ερώτηση που θέλουμε να σας κάνουμε όσον αφορά την ασφάλεια αφορά τη διαφορά μεταξύ των κοινών CMS (ακριβώς WordPress, Magento, Joomla! και άλλων), των λεγόμενων ιδιόκτητων συστημάτων διαχείρισης και των ιστότοπων του τύπου "ό,τι βλέπετε είναι αυτό που παίρνετε" (από Jimdo έως Wix μέσω Weebly και άλλων). Ακολουθεί μια σύνοψη της προσέγγισης ασφαλείας κάθε εναλλακτικής, όπως αντικατοπτρίζεται στην πολυετή εμπειρία μας στον τομέα της ανάπτυξης και συντήρησης ιστοτόπων.

•  Κοινό CMS: όπως είδαμε, η ευθύνη για τη διαμόρφωση ενός υγιούς και ασφαλούς περιβάλλοντος πέφτει στα χέρια της ομάδας που εργάζεται για ενημερώσεις CMS, αλλά και στην ακρίβεια όσων παρακολουθούν τις ενημερώσεις CMS και προσθηκών.
• Ιδιόκτητη διαχείριση: εάν ο ιστότοπος έχει αναπτυχθεί με πλατφόρμες ή κωδικούς που ανήκουν σε μια εταιρεία ιστού ή έναν κύριο ιστού, η ασφάλεια περνά σχεδόν εξ ολοκλήρου στα χέρια του υπεύθυνου επικοινωνίας, ο οποίος θα πρέπει να εγγυηθεί την πλήρη συμμόρφωση με τα κατάλληλα πρότυπα προστασίας.
• Ιστότοποι Αυτό που βλέπετε είναι αυτό που παίρνετε: αυτές οι λύσεις αντιπροσωπεύουν μια διασταύρωση μεταξύ των πιο δημοφιλών CMS και ιδιωτικών συστημάτων διαχείρισης, επειδή επιτρέπουν στον χρήστη να ελέγχει και να διαχειρίζεται τον δικό του ιστότοπο, απλώς σύροντας το περιεχόμενο στη σελίδα. Υπεύθυνες για την ασφάλεια, σε αυτή την περίπτωση, είναι οι εταιρείες που αναπτύσσουν λύσεις WYSIWYG, αλλά να είστε προσεκτικοί, γιατί σύμφωνα με το πρόγραμμα συνδρομής, η βοήθεια μπορεί να είναι επαρκής, καλή ή σχεδόν εντελώς απούσα.

Η τρίτη μας δόση τελειώνει εδώ. Η επόμενη μελέτη θα επικεντρωθεί σε ένα εξαιρετικά επίκαιρο θέμα: επεξεργασία δεδομένων και προσωπικές ευθύνες προς τους χρήστες που επισκέπτονται τον ιστότοπό μας, το ηλεκτρονικό εμπόριο ή το ιστολόγιό μας καλόπιστα. Ετοιμος? Συνεχίστε να μας ακολουθείτε, τα λέμε σύντομα!