插件和CMS的安全協議

塞滕布雷2,2020
|In 對於網絡, Sicurezza e 隱私, 在前台
|By 伊麗莎·馬澤利

焦點3:插件和CMS安全協議

在我們過去幾週發布的見解中,我們重點關注了與網站、電子商務或博客安全相關的一些主要方面。 在這些之間 例如,讓我們記住一個網站的託管,是保證系統24小時完美運行的一個基本變量。但正如網絡上經常發生的情況一樣,只有將更多的拼圖拼湊起來才能獲得完整的圖片,因此僅僅停留在這一點上是不夠的託管或只是普通維護。 還有其他的 決定網站安全的因素,其中我們必須包括內容管理系統的插件和平台的協議,從 WordPress 到 Joomla!。 插件和 CMS 事實上可以成為 攻擊和惡意軟件的門戶,在站點效率和數據丟失方面具有明顯的負面影響。 因此,讓我們看看如何防止這些情況,以及在此之前要實施的最佳實踐是什麼。

什麼是插件以及它們會給您的網站帶來哪些危險

近年來,由於公眾對這些集成的讚賞和許多用戶的熟悉,插件市場經歷了令人印象深刻的繁榮。 只需單擊一下即可安裝並激活插件,準備好擴展和擴展網站的操作可能性。 從時事通訊到同意數據處理的橫幅,從克隆內容到優化圖像,有成百上千的插件可以滿足任何類型的需求。 正是同樣的公司、同樣的軟件和計算機程序開發商以插件的形式提供其產品的功能。 這使得用戶(即使是經驗最少的用戶)也可以從 CMS 管理面板實施該程序,例如在線銷售產品。

總之, 插件的好處有很多,以至於這些工具幾乎不可或缺。 但除了好處之外,還存在一個必須正確理解和管理的問題:安全。 出於什麼原因,插件會對您的數字項目構成威脅? 讓我們嘗試用一個簡短的重複案例列表來回答:

  •  插件不再出現了 更新,這會產生一個漏洞,黑客可以利用該漏洞“進入”該網站並插入惡意代碼行(以重定向產品、調查、刪除整個頁面等)
  • 原來的插件來了 複製和操縱,只是上傳到黑客創建的網站,目的是欺騙人們相信他們正在下載真正的插件。 那時,安裝該插件可能會危及整個網站。
  • 插件來了 已刪除 來自官方目錄,但仍安裝在您的站點上。 這種可能性經常發生在 WordPress,世界上使用最廣泛、最著名的 CMS 中。 簡而言之,當 WordPress 背後的團隊發現不兼容或其他值得注意的元素時,可以決定從官方目錄中刪除插件。 屆時該插件將不再更新,這將再次危及那些仍在其網站上使用該插件的人。

如何分析插件和安全標準

有幾個 最佳實踐 可以在不放棄插件便利性的情況下實現提高網站的安全性。 儘管目前還沒有用於插件開發的通用協議來保證其真實性和質量,但肯定不乏我們所有人都應該遵循的預防措施。 確定性越多,插件的安全標準就越高,確定性越少,安裝插件後降低網站免疫防禦的風險就越高。 L'分析 因此必須考慮以下幾點:

  • 上次插件更新的日期(如果過時,風險會增加,如果最近,風險會降低)
  • 與最新版本的 WordPress 或其他 CMS 的兼容性
  • 下載該插件的人的評論
  • 可用的技術文檔
  • 用戶評論和開發者回應
  • 插件或開發該插件的公司的官方網站

不用說,用一點常識進行檢查可以讓您以一定的精度了解該插件是否可靠。 評論是否負面? 開發商不回答問題? 所需文件是否缺失? 上次更新日期是幾年前嗎? 最好別管它……

內容管理系統的安全性

現在我們已經詳細了解了識別安全插件的要求,讓我們繼續討論內容管理系統的問題,即網站或虛擬空間(登陸頁面、論壇、博客等)的內容管理系統。 這裡也不需要指南,而是整本書,因為每個 CMS 都與其他 CMS 不同,並且每個 CMS 都或多或少地實現了高安全標準,具體取決於當前使用的更新。 如果我們最近達到了 WordPress 5.0 版本,例如 Joomla! 我們仍然是 3.9,而 Magento 則接近 2.4。 注意,這並不意味著版本號越高安全性就越高:有些CMS只是後來誕生的,因此您需要充分了解每一個CMS的演變並解讀網絡的情緒,閱讀關於最後一個的內容更新。

顯然,我們的預測不僅僅基於此。 如果我們想獲得最大程度的安全性, 我們必須努力保持CMS平台更新到最新版本:我們離最新發布的更新越遠,網站的安全風險就越大,這也是由於所創建的漏洞以及有人可能滑入的漏洞。

如何在不冒險的情況下更新 CMS

更新 CMS 並不是一項可以輕鬆完成的操作,尤其是在主要版本(例如 WordPress 的最新版本)的情況下。 最好的策略是 在下載並安裝新版本之前備份您的數據。 這是因為主題和 CMS 之間或插件和 CMS 之間可能存在衝突,從而存在丟失內容、翻譯、圖像等的風險。 對於備份功能,您 請參閱前面專門介紹站點的普通和特殊維護的章節.

通用 CMS、所有者管理還是所見即所得網站?

我們想在安全領域向您提出的最後一個問題涉及常見 CMS(確切地說是 WordPress、Magento、Joomla! 等)、所謂的專有管理系統和“所見即所得”網站之間的區別” 類型(通過 Weebly 等從 Jimdo 到 Wix)。 以下是對每種替代方案的安全方法的總結,這反映了我們在網站開發和維護領域數十年的經驗。

  •  通用 CMS:正如我們所見,配置健康、安全環境的責任落在負責 CMS 更新的團隊手中,但也落在監控 CMS 和插件更新的人員的準時手中。
  • 專有管理:如果網站是使用網絡機構或網站管理員擁有的平台或代碼開發的,則安全性幾乎完全轉移到值班聯繫人手中,他們必須保證完全遵守適當的保護標準。
  • 網站所見即所得:這些解決方案代表了最流行的 CMS 和私人管理系統之間的交叉,因為它們允許用戶只需將內容拖放到頁面上即可控制和管理自己的網站。 在這種情況下,負責安全的是開發所見即所得解決方案的公司,但要小心,因為根據訂閱計劃,援助可能是足夠的、良好的或幾乎完全沒有。

我們的第三期到這裡就結束了。 接下來的研究將集中在一個高度熱門的話題上: 數據處理和個人責任 針對善意訪問我們網站、電子商務或博客的用戶。 準備好? 繼續關注我們,很快再見!

黑客 釣魚