Ak máte jednoduchý statický web, osobný blog či obyčajnú one-page prezentáciu, asi si poviete, že SSL certifikát nie je pre vás potrebný. Veď nie ste predsa e-shop alebo banka a bez symbolu zámku pri svojej doméne vo webovom prehliadači sa zaobídete. HTTPS (Hypertext Transfer Protocol Secure), má ale aj mnoho ďalších výhod, ktoré určite stoja za pozornosť.
Vedeli ste, že Google sa zoznamuje s webstránkami v dvoch krokoch? Ja teda nie. Prvým je indexové prehľadávanie („web crawling“) a druhým je triedenie informácií pomocou indexovania („indexing“).
Čítať ďalej: Ako prehľadáva Google webové stránky na internete.
Elektornická pošta alebo tiež e-mail, je spôsob písania, posielania a prijímania správ v elektronických komunikačných systémoch, akým je na príklad Internet.
Čítať ďalej: Elektronická pošta - spôsob písania, posielania a prijímania správ
Rýchlosť načítania webstránok je jednou z vlastností, podľa ktorej Google radí výsledky svojho vyhľadávania. Aj napriek tomu obsah stránok zapĺňajú nadrozmerné obrázky, ktoré ich spomaľujú a mobilných užívateľov iritujú. Riešenie, ako tomu zabrániť, je pri tom úplne jednoduché.
Čítať ďalej: Optimalizácia obrázkov na webstránke je nutnosť
V tejto, pre bežného používateľa dôležitej, oblasti práce z PC má Linux mnoho softvéru: Mp3 prehrávače, DVD prehrávače, práca s audio súbormi, grafické prehliadače, grafické editory v štýle Photoshopu, vektorové grafické editory, tvorba 3D grafiky, flash animácii, DVD enkódery, strihanie a editovanie videa.
Prezrel som si niekoľko e-shopov s bežnou elektronikou a našiel som pomerne veľa zásuviek a predlžovačiek s popismi ako vstavaná prepäťová ochrana, ochrana proti pulzému prepätiu a podobne. Prídeme teda do obchodu a kúpime si takúto predlžovačku v dobrej viere, že budeme mať našu elektroniku v bezpečí.
Open-source vs. vlastné CMS
O výhodách používania open-source sa popísalo veľa. Je to filozofická otázka prístupu k projektom aj ku klientovi. Ísť do vlastného CMS považujem v dnešnej dobe pri riešení štandartných problémov za určité riziko (bezpečnosť, efektívnosť vývoja). Jednak si vytvárate určitú závislosť na dodávateľovi (tzv. vendor locking) a taktiež je tu možnosť vytvorenia ťažko odhaliteľnej chyby (tzv. security through obscurity). Pri niekoľkých desiatkach inštalácií webstránky by to bola skôr náhoda alebo veľký amaterizmus.
Veľké CMS sú na tom s bezpečnosťou vačšinou rádovo inde. Pri státisícoch projektov je každé riziko problém veľkého počtu ľudí. Veľa inštalácií znamená veľa testovaní a zároveň veľa pokusov o zlomenie systému. Tlaky na vyriešenie bezpečnostných problémov v nich sú preto obrovské.
Najlepšie je, že pri open-source sa problém skôr či neskôr vyrieši “sám” (viď ďalší odstavec).
Bezpečnosť jadra CMS
Našťastie najväčšie open-source (WordPress, Drupal, Joomla, TYPO3) po rokoch vývoja priplávali do relatívne bezpečných vôd a ich jadrá sú pri dodržaní základných pravidiel pomerne v poriadku. Majú zriadené bezpečnostné tímy a procesy, pomocou ktorých sa dajú problémy reportovať a tiež riešiť (Drupal, WordPress). Niekoľko krát do roka vychádza bezpečnostná aktualizácia, ktorú netreba ignorovať. V minulosti sa stalo, že aj hlavné verzie mali principiálny problém a niekoľko mesiacov bol web úplne otvorený (SQL injection).
Najčastejšie problémy webstránok platia všeobecne:
- SQL Injection – databázové dopyty posielané z používateľského vstupu
- Cross Site Scripting (XSS) – upravený výstup do prehliadača cez modifikovanú URL (napríklad cez jQuery, WYSIWYG)
- Cross Site Request Forgery (CSRF) – odosielanie príkazov napr. cez adresy obrázkov, vstupov z formulárov a podobne
Tieto kritické miesta majú oba systémy už za sebou. Minimálne v okruhu Drupalistov (WP neviem) sa téma bezpečnosti riešila na každom stretnutí komunity – konferencii, DrupalCampe, DrupalCone a musím povedať, chvála Bohu! Aj vďaka tomu môžeme lepšie spávať.
Napríklad pri WordPresse sa aktualizácia pluginov deje pár klikmi. Pri security update jadra vám v ideálnom prípade príde mail o úspešnom upgrade systému.
Pri Drupale treba mať zapnutý modul “update manager”, aby vám chodili notifikácie o potrebe aktualizácie. Update si urobíte manuálne (FTP, drush), alebo vám príde bezpečnostný newsletter.
Bezpečnosť externých modulov a knižníc
Všetky CMS ponúkajú tisíce voľných alebo spoplatnených modulov a pluginov. Aj ich nesprávna voľba môže vážne narušiť bezpečnosť celej stránky. Mnohé z nich používajú navyše externé knižnice, ktoré môžu obsahovať škodlivý kód.
Systémy majú zadefinované „best practices“ pre vývojára modulov, ktoré sú podmienkou pri schvaľovaní kódu. Samotné schvaľovanie nie je jednoduché a trvá dlho. Z časti pomôžu automatické validátory kódu, ktoré odhalia základné chyby (syntax, formát, bezpečnosť), ale finálny krok je na komunite vývojárov. Pre správny vývoj modulov si prečítajte – Drupal coding standards , WordPress best practices , Joomla Best Practices, TYPO3 guidlines.
Napr. Drupal má prepracovaný postup vytvárania modulov.
Zaujímavý je koncept vzájomného schvaľovania modulov – Bonus Program, je to systém kontroly, kde ak ja skontrolujem minimálne 3 ďalšie projekty a minimálne traja iní skontrolujú môj projekt, proces sa tak urýchli a skvalitní. Celkom potešujúci je aj projekt Pareview.sh, kde sa dajú kontrolovať a testovať celé repozitáre v sandboxe.
Je správne a vyžadované nahrávať externé knižnice (javascript, php) do špeciálneho adresára “libraries”, ktorý je určený len na čítanie.
Chybná konfigurácia CMS
Toto je veľký problém administrátorov webstránok a veľká bezpečnostná diera.
Všetci klikači, občasní implementátori sypte popol na hlavu. Triviálne hesla pre klientov (veď si ich neskôr zmenia), benevolentné nastavenie právomocí v rámci redakčného systému, chýbajúca antispam / boot ochrana, nesprávne nastavenie práva na zápis do adresárov, možnosť čítania settings / config súboru s prístupom do databázy – to sú tie najväčšie chyby, ktoré vás, skôr, či neskôr dobehnú.
Drupal má hneď niekoľko pomôcok. Priamo v kontrole stavu Drupal inštalácie vám vyskočia hlavné problémy (napr. vyššie spomenuté write permissions). Komu to nestačí – môže použiť moduly Security review alebo Hacked na hlbšiu kontrolu zabezpečenia webu. Aj v rámci Drupalu existujú platené služby a DropGuard je jednou z nich, ktorá udržuje váš web v dobrej kondícii.
WordPress má na to tiež modul WP Security Scan alebo platené služby. V tomto ohľade musím pochváliť server administrátorov WebSupportu, ktorý pripravili pre svojich klientov WebScanner, ktorý funguje celkom spoľahlivo. Predpokladám, že chceli uľahčiť život klientom ale hlavne sebe : )
Asi ste zažili zdesený telefonát od klienta, že mu WebSupport posielam mail, že má napadnutú stránku. Toto funguje.
Najväčším problém – aktualizácia
Pre klientov: Vrelo odporúčam dohodnúť sa s dodávateľom po odovzdaní projektu, nech sa vám o web naďalej stará. Tých „pár eur“ mesačne zvládnete. Rozhodne to vyváži možné riziko.
Pre dodávateľov: Vrelo odporúčam dohodnúť sa s klientom, že mu za „pár eur“ budete webstránku pravidelne aktualizovať, vyhnete sa tak veľkej blamáži.
Asi ste zaregistrovali kauzu posledných týždňov – Panama papers, obrovský únik tajných informácií a dokumentov z daňového raja. Mohli za to vraj okrem Putina neaktualizované verzie WordPressu a Drupalu. Miliónová firma si nevedela zabezpečiť aktualizácie za „pár eur“. Ak to aj bolo inak, je to výstraha pre všetkých.
Viac o téme:
Tipy a triky na záver
Existuje zopár rád, ktorými sa odporúčam držať, okrem vyššie spomenutého.
Dôležitá je voľba dôveryhodného modulu – pluginu. Treba sa orientovať podľa počtu stiahnutí, hodnoteniu, frekvencie aktualizácií, prípadne zoznam a riešenie chýb.
Ak to CMS podporuje, je dobré nepoužívať predvolené nastavenia. Napríklad Drupal ukladá nahrané obrázky a prílohy do adresára “sites/default/files”, ale ľahko ich môžete umiestniť hocikde inde. Podobne to je s adresárom “private”, kde sa ukladajú privátne prílohy, môžete ho nazvať a umiestniť hocikde inde.
Odporúčam si prejsť aj tieto typy na udržanie Drupalu v kondícii, vrátane infografiky update cykloch.
Bezpečnosť open-source redakčných systémov je otvorená téma. Ak sa teda obávate ako klient alebo programátor používať open-source redakčné systémy, nie je sa čoho obávať pri dodržaní bezpečnostných pokynov.
Posolstvo na záver: Aktualizujte!
Autor www.websupport.sk: Peter Pokrivčák
Čo je to doména?
Doména je ako adresa vo virtuálnom svete internetu. To znamená, že ak v reálnom svete bývate napríklad na Súmračnej, na internete môže bývať vaša stránka napríklad na adrese www.milacik.love, www.mojaadresaje.sk, www.mojaadresaje.com,…