Fokus 3: Plugin- og CMS-sikkerhetsprotokoller

I innsikten som vi har publisert de siste ukene, har vi fokusert på noen av hovedaspektene som gjelder sikkerheten til et nettsted, en e-handel eller en blogg. Mellom disse la oss huske for eksempel hosting av et nettsted, en grunnleggende variabel for å garantere perfekt funksjon av systemet 24 timer i døgnet. Men som ofte skjer på nettet, kan det komplette bildet bare oppnås ved å sette sammen flere puslespillbiter, så det er ikke nok å stoppe ved bare hosting eller bare ordinært vedlikehold. Det finnes andre faktorer som bestemmer sikkerheten til et nettsted, og blant disse må vi inkludere protokollene til pluginene og plattformene til Content Management System, fra WordPress til Joomla!. Plugins og CMS kan faktisk bli inngangsporten til angrep og skadelig programvare, med åpenbare negative konsekvenser når det gjelder nettstedets effektivitet og tap av data. Så la oss se hvordan vi kan forhindre disse scenariene, og før det, hva er de beste praksisene å implementere.

HVA PLUGINS ER OG HVILKE FALER DE UTSETTER NETTSTEDET DITT FOR

Plugin-markedet har de siste årene opplevd en imponerende boom, takket være den offentlige forståelsen og kjennskapen til disse integrasjonene som mange brukere har fått. Et enkelt klikk og plugin er installert og aktiv, klar til å utvide og utvide operasjonsmulighetene til nettstedet. Fra nyhetsbrevet til banneret med samtykke til databehandling, fra kloning av innhold til optimalisering av bilder, det finnes hundrevis og hundrevis av plugins for alle typer behov. Det er de samme selskapene og de samme programvare- og dataprogramutviklerne som gjør funksjonene til produktene sine tilgjengelige også i plugin-format. Dette lar brukere, selv de minst erfarne, implementere programmet fra CMS-administrasjonspanelet, for eksempel for å selge et produkt online.

Kort sagt, Fordelene med plugins er mange, til det punktet å gjøre disse verktøyene nesten uunnværlige. Men ved siden av fordelene er det fortsatt et problem som må forstås og håndteres riktig: sikkerhet. Av hvilke grunner kan plugins bli en fare for ditt digitale prosjekt? La oss prøve å svare med en kort liste over tilbakevendende tilfeller:

•  plugin-en kommer ikke lenger oppdatert, og dette skaper en feil som hackere kan utnytte til sin fordel, "gå inn" på nettstedet og sette inn linjer med skadelig kode (for å omdirigere produkter, undersøkelser, for å slette hele sider, etc.)
• den originale plugin-en kommer kopiert og manipulert, bare for å bli lastet opp til et nettsted opprettet av en cracker med det formål å lure folk til å tro at de laster ned den virkelige plugin. På det tidspunktet risikerer installasjon av plugin å kompromittere hele nettstedet.
• plugin kommer slettet fra den offisielle katalogen, men forblir installert på nettstedet ditt. Denne hendelsen skjer ofte i WordPress, det mest brukte og mest kjente CMS i verden. I et nøtteskall kan teamet bak WordPress bestemme seg for å fjerne en plugin fra den offisielle katalogen når den finner inkompatibiliteter eller andre bemerkelsesverdige elementer. På det tidspunktet vil ikke programtillegget lenger oppdateres, og dette vil igjen sette de som fortsatt bruker dette programtillegget på nettsiden i fare.

HVORDAN ANALYSER DU PLUGINS OG SIKKERHETSSTANDARDER

Det er flere beste praksis som kan implementeres for å øke sikkerheten til nettstedet uten å gi opp bekvemmeligheten med plugins. Selv om det foreløpig ikke er noen universell protokoll for utvikling av plugins for å garantere deres autentisitet og kvalitet, er det absolutt ingen mangel på forholdsregler som vi alle bør følge. Jo flere sikkerheter vi har, jo høyere sikkerhetsstandarden til pluginet vil være, jo mindre sikkerhet finner vi, desto høyere er risikoen for å senke nettstedets immunforsvar når pluginet er installert. L'analisi må derfor vurdere følgende punkter:

• dato for siste pluginoppdatering (hvis foreldet, øker risikoen, hvis nylig, reduseres risikoen)
• kompatibilitet med den nyeste versjonen av WordPress eller annet CMS
• anmeldelser fra personer som har lastet ned plugin-en
• teknisk dokumentasjon tilgjengelig
• brukerkommentarer og utviklersvar
• den offisielle nettsiden til plugin-en eller selskapet som utviklet den

Det sier seg selv at en sjekk utført med litt sunn fornuft lar deg forstå med en viss presisjon om plugin er pålitelig eller ikke. Er anmeldelsene negative? Utvikler svarer ikke på spørsmål? Mangler de nødvendige dokumentene? Var siste oppdateringsdato for noen år siden? Bedre å la det være i fred...

SIKKERHETEN TIL ET INNHOLDSBEHANDLINGSSYSTEM

Nå som vi har sett i detalj kravene for å identifisere en sikker plugin, la oss gå videre til spørsmålet om innholdsstyringssystemet, det vil si innholdsadministrasjonssystemet til et nettsted eller virtuelt rom (destinasjonsside, forum, blogg, etc.). Også her vil det ikke kreve en guide, men en hel bok, fordi hvert CMS er forskjellig fra de andre, og mer eller mindre høye sikkerhetsstandarder er oppnådd for hvert CMS, avhengig av oppdateringen som er i bruk. Hvis vi nylig har nådd versjon 5.0 for WordPress, for eksempel for Joomla! vi er fortsatt på 3.9, mens for Magento er vi nær 2.4. Advarsel, dette betyr ikke at sikkerheten er større hvis versjonsnummeret er høyere: noen CMS-er ble ganske enkelt født senere, så du må kjenne utviklingen til hver enkelt godt og tolke stemningene i nettverket, lese hva som er skrevet om den siste oppdateringen.

Det vil helt klart ikke være på dette alene vi vil basere våre spådommer. Hvis vi ønsker å få det maksimale når det gjelder sikkerhet, vi må strebe etter å holde CMS-plattformen oppdatert til siste versjon: Jo mer vi beveger oss bort fra den siste oppdateringen som er utgitt, desto større er risikoen for sikkerheten til nettstedet, igjen på grunn av hullene som er opprettet og som noen kan skli inn i.

Hvordan oppdatere et CMS uten å ta risiko

Å oppdatere et CMS er ikke en operasjon som må løses lett, spesielt hvis det er en større utgivelse (som den nyeste versjonen av WordPress). Den beste strategien er å sikkerhetskopiere dataene dine rett før du laster ned og installerer den nye versjonen. Dette er fordi det kan være en konflikt mellom tema og CMS, eller mellom plugin og CMS, med risiko for å miste innhold, oversettelser, bilder og mer. For sikkerhetskopieringsfunksjonen du Vennligst se forrige kapittel dedikert til ordinært og ekstraordinært vedlikehold av et nettsted.

FELLES CMS, EIERLEDELSE ELLER WYSIWYG-NETTSIDER?

Det siste spørsmålet vi ønsker å stille deg når det gjelder sikkerhet, gjelder forskjellen mellom vanlige CMS-er (nøyaktig WordPress, Magento, Joomla! og andre), såkalte proprietære administrasjonssystemer og nettsider av typen «det du ser er det du får» (fra Jimdo til Wix via Weebly og andre). Her er en oppsummering av sikkerhetstilnærmingen til hvert alternativ, som gjenspeiles i våre tiår med erfaring innen utvikling og vedlikehold av nettsteder.

•  Felles CMS: som vi har sett, faller ansvaret for å konfigurere et sunt og sikkert miljø i hendene på teamet som jobber med CMS-oppdateringer, men også i punktligheten til de som overvåker CMS og plugin-oppdateringer.
• Proprietær administrasjon: hvis nettstedet er utviklet med plattformer eller koder som eies av et nettbyrå eller en webmaster, går sikkerheten nesten fullstendig over i hendene på kontaktpersonen på vakt, som må garantere full overholdelse av tilstrekkelige beskyttelsesstandarder.
• Nettsteder Det du ser er det du får: disse løsningene representerer en krysning mellom de mest populære CMS og private administrasjonssystemer, fordi de lar brukeren kontrollere og administrere sitt eget nettsted ved å dra innholdet inn på siden. Ansvarlig for sikkerheten er i dette tilfellet selskapene som utvikler WYSIWYG-løsninger, men vær forsiktig, for i henhold til abonnementsplanen kan bistand være tilstrekkelig, god eller nesten helt fraværende.

Vår tredje del slutter her. Den neste studien vil fokusere på et høyaktuelt tema: databehandling og personlig ansvar mot brukere som besøker vår nettside, e-handel eller blogg i god tro. Klar? Fortsett å følge oss, vi sees snart!