• небольшой опус на тему безопасности CMS

     

    Если спросить потенциального заказчика сайта о критериях выбора системы управления сайтом, он наверняка в общем списке критериев назовет безопасность. Но в подавляющем большинстве случаев этот критерий будет не на первом месте. Ну ладно заказчики. Что поделаешь, такая у нас природа: пока петух не клюнет в одно место, не пошевелимся. А что создатели сайтов? Да то же самое. Запросите «рыбу» ТЗ на создание сайта в любой веб-студии и поищите там пункт «Безопасность». Впрочем и это тоже понятно: переписывать используемую веб-студиями CMS им не с руки. Остается полагать, что безопасность сайтов обеспечат хостеры и создатели CMS.

    Про хостинг — отдельный разговор. На сегодняшний день большинство уязвимостей сайта — это уязвимости в ПО хостинговой площадки, что является в основном результатом несвоевременного обновления ОС, веб-сервера и сервера БД. И самая большая головная боль — плохо настроенные shared-хостинги. Единственное, что тут можно сказать: слушайте рекомендации разработчиков CMS по выбору хостинга. Они на этом уже не одну собаку съели. Недаром на сайте многих CMS есть списки рекомендуемых хостеров, а «1С-Битрикс» вообще провел сертификацию хостинговых площадок. Однако наша статья не об этом. Мы рассмотрим подход к безопасности создателей CMS.

    Начнем с простого. Предположим, что потенциальный заказчик поставил во главу угла не функциональность, удобство или системные требования, а безопасность сайта. При этом он решился сам оценить предоставляемый уровень безопасности каждой из CMS. Как ему это сделать? Первое, что он может, — просмотреть официальные сайты систем по управлению контентом.

    Информация на сайтах

    И что же он увидит? Он увидит, что проблема безопасности сайта далеко не на первом месте у разработчиков. Открыв примерно с десяток сайтов самых известных CMS, только на паре из них можно найти разделы, посвященные безопасности создаваемого разработчиками решения: «1С-Битрикс» и Saitistica. Кое-где на сайтах разработчиков встречались перепечатки некоторых статей о безопасности CMS общего характера, не относящиеся к конкретной системе. И кое-где на форумах встречались вопросы пользователей по безопасности. При этом из трех самых известных и популярных в России CMS («1С-Битрикс», NetCat и S. Builder) такой раздел — только у «Битрикса».

    Можно возразить, что реальная безопасность CMS и разделы официального сайта — вещи малосвязанные. Это и так, и не так одновременно. Технически — да, уровень безопасности, обеспечиваемый тем или иным решением, ну никак не завязан на то, что написано на официальном сайте. Практически — нет. Занимаясь продвижением своего продукта, разработчики всегда сталкиваются с задачами безопасности, и если они не выносят эти вопросы на свой сайт, значит, им либо сказать нечего (система не безопасна), либо до этих проблем еще руки не дошли.

     



  • На главную