#php #security #drupal #joomla
#php #Безопасность #drupal #joomla
Вопрос:
У меня есть опыт работы с Joomla, Drupal, WordPress и конфигурацией небольших CMS. Но один из моих клиентов спрашивает об уровне безопасности в вышеупомянутой cms. Я никогда не думал о рисках безопасности, и это действительно очень ново для меня. На каком основании я могу выбрать лучшую CMS, учитывая уровень безопасности и минимальные риски? И какую защиту мы можем предоставить серверу, чтобы приложение было надежно защищено?
Комментарии:
1. Просто проверьте рекомендации по безопасности, такие как Secunia , на предмет проблем безопасности. На безопасность, скорее всего, повлияют модули сторонних производителей, которые вы устанавливаете, поэтому вы должны проверить их на наличие любых проблем перед их внедрением. И как только вы выберете конкретную CMS, подпишитесь на их список рассылки, связанный с безопасностью (если он у них вообще есть).
2. ДА. Вы правы. модули сторонних производителей могут подвергаться риску.
3. Как упоминалось в wimvds, проблема заключается не столько в CMS (в большинстве случаев), сколько в расширениях. Joomla довольно хорошо поддерживает этот список в актуальном состоянии — docs.joomla.org/Vulnerable_Extensions_List
Ответ №1:
Все упомянутые вами крупные продукты CMS должны быть в порядке. Посмотрите, кто еще их использует; это отличный способ оценить, насколько хорош продукт на самом деле. Например, Drupal используется Белым домом. Этот факт придает мне большую уверенность в Drupal.
Важно убедиться, что вы в курсе всех выпущенных исправлений безопасности.
Подавляющее большинство проблем безопасности во всех этих продуктах возникают из-за неосновных модулей, которые вы можете установить. Если вы действительно беспокоитесь о безопасности, я предлагаю свести количество используемых вами модулей к абсолютному минимуму.
Если вам действительно нужно использовать внешний модуль, проведите тщательное расследование, чтобы выяснить, насколько он хорош: как часто он обновляется? есть ли в ней какие-либо известные ошибки, которые могут быть связаны с проблемами безопасности? насколько широко она используется? И, как я упоминал выше в отношении базовой CMS, кто ее использует?
Вы также должны убедиться, что ваш веб-сервер защищен. Хакеру будут доступны маршруты не только вашей CMS. Закройте все ненужные порты и службы. Убедитесь, что все возможное зашифровано (используйте SFTP, определенно не FTP). Если вы используете CMS на основе PHP, такую как Drupal, используйте защищенную версию PHP (Suhosin), а не базовую версию.
Наконец, вы должны признать, что независимо от того, насколько хорошо ваше программное обеспечение и насколько вы бдительны, вас все равно могут взломать. Хуже того, вас могут взломать, даже не зная об этом. Даже у самого лучшего программного обеспечения есть недостатки, которыми можно воспользоваться. По этой причине вы должны стремиться обеспечить несколько уровней безопасности, прежде чем кто-либо сможет получить доступ к действительно конфиденциальным данным.
Комментарии:
1. Еще одна вещь, которую следует упомянуть, — это конфигурация. Drupal хорош из коробки, но, как только вы настроили свои учетные записи администратора и их права и поиграли с тем, кто что может видеть, нет гарантии, что все по-прежнему в порядке.