skende

Open-source vs. vlastné CMS

O výhodách používania open-source sa popísalo veľa. Je to filozofická otázka prístupu k projektom aj ku klientovi. Ísť do vlastného CMS považujem v dnešnej dobe pri riešení štandartných problémov za určité riziko (bezpečnosť, efektívnosť vývoja). Jednak si vytvárate určitú závislosť na dodávateľovi (tzv. vendor locking) a taktiež je tu možnosť vytvorenia ťažko odhaliteľnej chyby (tzv. security through obscurity). Pri niekoľkých desiatkach inštalácií webstránky by to bola skôr náhoda alebo veľký amaterizmus.

Veľké CMS sú na tom s bezpečnosťou vačšinou rádovo inde. Pri státisícoch projektov je každé riziko problém veľkého počtu ľudí. Veľa inštalácií znamená veľa testovaní a zároveň veľa pokusov o zlomenie systému. Tlaky na vyriešenie bezpečnostných problémov v nich sú preto obrovské.

Najlepšie je, že pri open-source sa problém skôr či neskôr vyrieši “sám” (viď ďalší odstavec).

Bezpečnosť jadra CMS

Našťastie najväčšie open-source (WordPress, Drupal, Joomla, TYPO3) po rokoch vývoja priplávali do relatívne bezpečných vôd a ich jadrá sú pri dodržaní základných pravidiel pomerne v poriadku. Majú zriadené bezpečnostné tímy a procesy, pomocou ktorých sa dajú problémy reportovať a tiež riešiť (DrupalWordPress). Niekoľko krát do roka vychádza bezpečnostná aktualizácia, ktorú netreba ignorovať. V minulosti sa stalo, že aj hlavné verzie mali principiálny problém a niekoľko mesiacov bol web úplne otvorený (SQL injection).

Najčastejšie problémy webstránok platia všeobecne:

  • SQL Injection – databázové dopyty posielané z používateľského vstupu
  • Cross Site Scripting (XSS) –  upravený výstup do prehliadača cez modifikovanú URL (napríklad cez jQuery, WYSIWYG)
  • Cross Site Request Forgery (CSRF) – odosielanie príkazov napr. cez adresy obrázkov, vstupov z formulárov a podobne

Tieto kritické miesta majú oba systémy už za sebou. Minimálne v okruhu Drupalistov (WP neviem) sa téma bezpečnosti riešila na každom stretnutí komunity – konferencii, DrupalCampe, DrupalCone a musím povedať, chvála Bohu! Aj vďaka tomu môžeme lepšie spávať.

Napríklad pri WordPresse sa aktualizácia pluginov deje pár klikmi. Pri security update jadra vám v ideálnom prípade príde mail o úspešnom upgrade systému.

Pri Drupale treba mať zapnutý modul “update manager”,  aby vám chodili notifikácie o potrebe aktualizácie. Update si urobíte manuálne (FTP, drush), alebo vám príde bezpečnostný newsletter.

Bezpečnosť externých modulov a knižníc

Všetky CMS ponúkajú tisíce voľných alebo spoplatnených modulov a pluginov. Aj ich nesprávna voľba môže vážne narušiť bezpečnosť celej stránky. Mnohé z nich používajú navyše externé knižnice, ktoré môžu obsahovať škodlivý kód.

Systémy majú zadefinované „best practices“ pre vývojára modulov, ktoré sú podmienkou pri schvaľovaní kódu. Samotné schvaľovanie nie je jednoduché a trvá dlho. Z časti pomôžu automatické validátory kódu, ktoré odhalia základné chyby (syntax, formát, bezpečnosť), ale finálny krok je na komunite vývojárov. Pre správny vývoj modulov si prečítajte – Drupal coding standards , WordPress best practices , Joomla Best PracticesTYPO3 guidlines.

Napr. Drupal má prepracovaný postup vytvárania modulov.

Zaujímavý je koncept vzájomného schvaľovania modulov – Bonus Program,  je to systém kontroly, kde ak ja skontrolujem minimálne 3 ďalšie projekty a minimálne traja iní skontrolujú môj projekt, proces sa tak urýchli a skvalitní. Celkom potešujúci je aj projekt Pareview.sh, kde sa dajú kontrolovať a testovať celé repozitáre v sandboxe.

Je správne a vyžadované nahrávať externé knižnice (javascript, php) do špeciálneho adresára “libraries”, ktorý je určený len na čítanie.

Chybná konfigurácia CMS

Toto je veľký problém administrátorov webstránok a veľká bezpečnostná diera.

Všetci klikači, občasní implementátori sypte popol na hlavu. Triviálne hesla pre klientov (veď si ich neskôr zmenia), benevolentné nastavenie právomocí v rámci redakčného systému, chýbajúca antispam / boot ochrana, nesprávne nastavenie práva na zápis do adresárov, možnosť čítania settings / config súboru s prístupom do databázy – to sú tie najväčšie chyby, ktoré vás, skôr, či neskôr dobehnú.

Drupal má hneď niekoľko pomôcok. Priamo v kontrole stavu Drupal inštalácie vám vyskočia hlavné problémy (napr. vyššie spomenuté write permissions). Komu to nestačí – môže použiť moduly Security review alebo Hacked na hlbšiu kontrolu zabezpečenia webu. Aj v rámci Drupalu existujú platené služby a DropGuard je jednou z nich, ktorá udržuje váš web v dobrej kondícii.

WordPress má na to tiež modul WP Security Scan alebo platené služby. V tomto ohľade musím pochváliť server administrátorov WebSupportu, ktorý pripravili pre svojich klientov WebScanner, ktorý funguje celkom spoľahlivo. Predpokladám, že chceli uľahčiť život klientom ale hlavne sebe : )

Asi ste zažili zdesený telefonát od klienta, že mu WebSupport posielam mail, že má napadnutú stránku. Toto funguje.

Najväčším problém – aktualizácia

Pre klientov:  Vrelo odporúčam dohodnúť sa s dodávateľom po odovzdaní projektu, nech sa vám o web naďalej stará. Tých „pár eur“ mesačne zvládnete. Rozhodne to vyváži možné riziko.

Pre dodávateľov: Vrelo odporúčam dohodnúť sa s klientom, že mu za „pár eur“ budete webstránku pravidelne aktualizovať, vyhnete sa tak veľkej blamáži.

Asi ste zaregistrovali kauzu posledných týždňov – Panama papers, obrovský únik tajných informácií a dokumentov z daňového raja. Mohli za to vraj okrem Putina neaktualizované verzie WordPressu a Drupalu. Miliónová firma si nevedela zabezpečiť aktualizácie za „pár eur“. Ak to aj bolo inak, je to výstraha pre všetkých.

Viac o téme:

Tipy a triky na záver

Existuje zopár rád, ktorými sa odporúčam držať, okrem vyššie spomenutého.

Dôležitá je voľba dôveryhodného modulu – pluginu. Treba sa orientovať podľa počtu stiahnutí, hodnoteniu, frekvencie aktualizácií, prípadne zoznam a riešenie chýb.

Ak to CMS podporuje, je dobré nepoužívať predvolené nastavenia. Napríklad Drupal ukladá nahrané obrázky a prílohy do adresára “sites/default/files”, ale ľahko ich môžete umiestniť hocikde inde. Podobne to je s adresárom “private”, kde sa ukladajú privátne prílohy, môžete ho nazvať a umiestniť hocikde inde.

Odporúčam si prejsť aj tieto typy na udržanie Drupalu v kondícii, vrátane infografiky update cykloch.

Bezpečnosť open-source redakčných systémov je otvorená téma. Ak sa teda obávate ako klient alebo programátor používať open-source redakčné systémy, nie je sa čoho obávať pri dodržaní bezpečnostných pokynov.
Posolstvo na záver: Aktualizujte!

Autor www.websupport.sk: Peter Pokrivčák

 

Redakčný systém

redakcny systemCMS - naprogramovaný systém - zmes programov, ktorý zjednodušuje tvorbu webu, nemusíme nič programovať, tento systém sa nainštaluje na  webhosting a prispôsobí tak aby spĺňal vaše potreby, prihlásite sa do neho pod svojím heslom a môžeme vkladať alebo meniť obsah svojho webu. (podobne ako na Facebooku) Ja použivam redakčný systém Joomla. Sú samozrejme aj iné CMS, Wordpress, Magneto, Drupal atd...

Čo je to doména

domenaDoména je meno, jedinečné na celej sieti internet. Existuje zažitá obyčaj nazvať doménu po názve firmy, efektívnejšie je však nazvať ju podľa toho čo prezentuje. Nikto nebude hľadať a nevie čo je to "mirex" alebo "mitopesa" ale veľa ľudí bude hľadať "vyskove-prace", "cukraren-skalica" alebo "zubar-nitra". Domén k jednej web-stránke môžete mať aj viac.  Koncovka za bodkou samozrejme musí byť, ale nie je podmienka aby bola ".sk", rovnako dobre môže doména končiť ako ".com",  ".eu" a podobne...

Čo je to webhostig

webhostingUložisko - server - stroje - datacentrá, na ktorých je uložený váš web, vaša internetová stránka. Je to v podstate prenájom časti servera - serverov, presklený výklad kam sa webová stránka umiestni tak, aby bola perfektne viditeľná kdekoľvek na internete. Od hostingu sa požaduje rýchlosť, bezpečnosť, 24/7 dostupná technická podpora a komfortné služby. Solídna webhostingová firma sa nemusí nachádzať na území SR a v konečnom dôsledku asi ani taká nie je, nezáleži však na tom, svet je rozhodne väčši ako humná za dedinou.

Čo je to virtuálny server - VPS

VPS serverPredstavte si serverovňu a v nej veľký "regál", v ktorom sú skladované jednotlivé servery. Každý taký server má nejaké železo a drôty a je väčšinou napojený na centrálne harddisky. Na tomto serveri beží akási nadstavba - program, ktorá umožňuje server rozčleniť na niekoľko menších virtuálnych serverov, ktoré sa zvonku správajú ako samostatné servery, a nastaviť im individuálny výkon. Na jednom fyzickom stroji, ktorý je mimoriadne výkonný, môžu byť teda oddelene prevádzkované rôzne viruálne stroje, bez toho aby sa navzájom ovplyvňovali. Táto stránka využiva samostatný prenajatý VPS server za $5 mesačne v Kalifornii, USA a jej kópie sú replikované v stovkách datacentier Cloudflare po planéte.

Čo je to HTTPS protokol?

HTTPS protokolSkôr platilo, že použiť zabezpečeného pripojenia cez HTTPS je povinnosťou každého prevádzkovateľa webových stránok, kde sa od užívateľa vyžadujú akékoľvek citlivé údaje (napríklad prihlásenie). Teraz sa to ale týka všetkých webových stránok. Od júla 2018 totiž prehliadače zobrazujú varovanie "nezabezpečený" ( "Not Secure") u všetkých webových stránok na nezabezpečenom protokole HTTP. Upozornenie "nezabezpečené" sa zobrazuje na všetkých stránkach, ktoré nepoužívajú HTTPS , nie len na stránkach s formulárom. Google Vás bude sankcionovať a Vaša stránka sa vo vyhľadávaní prepadne niekam na 10 stranu. Pokiaľ si totiž pohneváte Google, je to ako nahnevať nejaké lokálne boźstvo.

Tvorba webových stránok

tvorba webových stránokZhotovím Vám moderné webové stránky s responzivním dizajnom a s redakčným systémom pre vlastnú správu obsahu. On-page SEO a https zabezpečenie je samozrejmosť.

Optimalizácia pre mobily

optimalizácia pre mobilyPodiel mobilných zariadení na návštevnosti webových stránok sa v súčasnosti sa pohybuje okolo 40% a ich podiel neustále rastie. Na to je dôležité byť pripravený - rovnako tak, ako sú pripravené stránky, ktoré si práve prezeráte.

Redesign webových stránok

redesign webových stránokRedesign webových stránok je vhodný v prípade, že už svoje stránky máte, ale potrebujete inovovať ich vzhľad alebo ak ich chcete rozšíriť o nové užitočné funkcie.

Analýza návštevníkov

analýza návštevníkovPre rozhodovanie o obchodnej stratégii je veľmi dôležité poznať svojho návštevníka - vek, pohlavie, záujmy, aké stránky a súbory ho na webe najviac zaujímajú, odkiaľ prišiel, akú dlhú dobu na stránkach strávil, apod.

E-shopy & katalógy

E-shopy & katalógyE-shopy, s ktorými sa veľmi dobre pracuje a splnia všetky vaše očakávania. Zvládnem tiež galérie, rezervačné stránky alebo ďalšie, rozsiahlejšie projekty.

Správa a aktualizácia

správa a aktualizáciaPre väčší komfort Vám ponúkam správu a aktualizáciu Vašich webových stránok, ktorá zahŕňa pravidelnú údržbu, zálohovanie dát, monitoring dostupnosti stránok 24hod / 7dní v týždni, návrhy na ďalší rozvoj stránok, apod.

created by: Marek Sarvas - výroba stránok