Безопасная CMS?

bas · 21-05-2013, 08:18:48

Начал юзать Joomla и тут на форуме (как всегда по закону подлости) наткнулся на высказывания parmactep о проблемах безопасности в этой CMS, потом на глаза начали попадаться и сообщения от других форумчан.
Почитав отзывы форумчан и заглянув на хакерские форумы у меня начинает складываться впечатления, что все (?) CMS дырявые. Наверное в отличие от коробочных вариантов, самопис обладает большей стойкостью, но в моих ближайших планах не стоит вопрос изучения программирования (наверное перебор будет т.к. родители всю жизнь этим занимались).
Можно конечно предположить, что непопулярная CMS менее привлекательная с точки зрения взлома, но с другой стороны на нее найдется и меньше необходимых скриптов и наверное она не такая удобная в плане понимания и эксплуатации.
Прекрасно понимаю, что это ситуация "броня-оружие" (укрепляется броня - совершенствуется оружие), но все же. Интересно было бы узнать мнение форумчан по этому вопросу.
Касательно Joomla может кто знает какие хитрости увеличивающие стандартную безопасность системы. В идеале конечно, чтобы сильно не загружать и не засорять систему.

P.S. Когда-то давно читал такое высказывание за вирусы: "Борьба с вирусами принесла больше вреда чем сами вирусы" (это было давно и компьютерные вирусы тогда были другими, но все же).

bumer · 21-05-2013, 09:44:43

Можно поставить плагин скрытие админки, придумать более сложные пароли на фтп и админку, проверить все ли файлы закрыты от изменения обычных пользователей. Взлом может принести тока ущерб в виде ссылок на подозрительные сайты, если все таки у Вас в планах создать такой же интернет магазин как озон по пулярности, то тут да, надо думать что то серьезное.

bas · 21-05-2013, 10:24:02

Цитата: parmactep от 02-02-2013, 20:50:13
...............
1. не юзать джумлу...
2. следить за правами папок
3. Поставить скрипт, проверяющий файлы на изменение
4. Не юзать джумлу.
5. не юзать джумлу.

60% рекомендаций пришлось на не использование этой CMS. С другой стороны если столько сайтов на ней создается - значит у нее есть какие-то преимущества и за, что-то ей отдают предпочтение.

Если на Joomla у всех стандартный вход, через админ панель, то можно ли изменить вид входа заменив /administrator на, что-то своё (если да, то каким образом)? Или это не обеспечивает дополнительную безопасность?

Каким макаром (образом) узнается, что именно этот ftp вход привязан к этому сайту? Или тут действует принцип случайности? У меня например логин ftp не соответствует названию сайта.

parmactep · 21-05-2013, 23:12:31

Мои высказывания касательно Joomla и DLE достаточно категоричны только по причине того что эти 2 ЦМС имеют ОООЧЕНЬ много изъянов в безопасности. И чтобы закрыть все "дыры" необходимо быть гораздо больее чем просто пользователем для которых собственно ЦМС предназначены. На самом деле самописные ЦМС достаточно часто тоже бывают "дырявыми". НО есть намного меньше шансов попасть под работу автоматического скрипта, который просто ищет сайты на DLE или Joomla и ломает их пачками, добавляя вредоносный код или дорвей.

Добавлено: 21-05-2013, 23:16:12

А касательно вообще безопасности - тот же вордпересс и т.д. тоже ломают.
Не так давно совсем детская дыра была найдена у Яндекса, над которым куча высококлассных специалистов работает, что уж там о остальных говорить....

Asin · 21-05-2013, 23:16:58

Не слезу с Wordpress. При "допиливании" и настройке - вполне безопасна. Изобретать велосипед , как по мне, нецелесообразно.
Лучше уж изучать как правильно защитить то, что есть. Мнение, что самопис безопасней - миф.

parmactep · 21-05-2013, 23:20:44

Цитата: Asin от 21-05-2013, 23:16:58Не слезу с Wordpress.

Абсолютно согласен. Над wordpress работает достаточно большое количество людей. И от версии к версии дыры закрываются. А не появляются новые.

Добавлено: 21-05-2013, 23:23:26

Цитата: Asin от 21-05-2013, 23:16:58Мнение, что самопис безопасней - миф.

Смотря с чем сравнивать. Любой самопис (даже самый паршивый) безопасней чем коробочная DLE. По той причине что есть масса скриптов, которые ищут сайты именно на DLE и используют известные изъяны.

bas · 22-05-2013, 03:14:02

Цитата: parmactep от 21-05-2013, 23:12:31Мои высказывания касательно Joomla и DLE достаточно категоричны

потому, что как я понимаю опираются на практический опыт эксплуатации этих CMS. На данном этапе у меня опыт практически 0, поэтому насторожило это высказывание и я начал обращать внимание на сообщения на форуме (да и вообще в инете) относительно безопасности этой CMS.

Цитата: Asin от 21-05-2013, 23:16:58Не слезу с Wordpress. При "допиливании" и настройке - вполне безопасна.

Сделал себе заготовочку, начинаю потихоньку пробовать, но для основного проекта на данном этапе уже выбрал Joomla.

Цитата: Asin от 21-05-2013, 23:16:58Мнение, что самопис безопасней - миф.

При взгляде дилетанта у самописа нет таких минусов: как стандартный вход в админ панель и стандартизации массовой CMS.

Возникает вопрос:

Цитата: bas от 21-05-2013, 10:24:02можно ли изменить вид входа заменив /administrator на, что-то своё (если да, то каким образом)?

, по какому критерию происходит идентификация CMS (Joomla, Wordpress и т.д.) ботами или программами. И как это можно скрыть. (Когда-то в линуксе изменял в настройках описание OS на произвольное и при попытке идентификации по сети выдавало произвольную предварительно мной внесенную информацию вида "ОС Васи Пупкина и т.д., не влезай убьет").

Какие плагины и откуда можете порекомендовать для обеспечения безопасности. (Почему откуда? Потому, что в плагин для обеспечения безопасности тоже можно вставить вредоносный код или брешь, по аналогии с подставными антивирусами).

Может быть это конечно моя паранойя, но как-то не хочется вкладывать время, силы и надежды, чтобы потом кто-то за пару секунд свел это к 0.

P.S. Чем отличает оптимист от пессимиста? Пессимист - хуже уже не бывает. Оптимист - бывает, бывает!!!
У вас такого не бывало, что что-то выбираете, выбираете потом купили а на следующей день находите дешевле и лучше?

vold57 · 22-05-2013, 12:02:58

Цитата: Asin от 21-05-2013, 23:16:58Мнение, что самопис безопасней - миф.

Это как с неуловимым Джоном. Неуловим не потому, что поймать невозможно, а потому что нахрен никому не нужен.
Так и с самописом. Так что в этом смысле самопис безопасней и это не миф.
Вообще, опять же, в "этом смысле" чем менее популярна CMS, тем она более безопасна.

Joomla, WP и некоторые другие изначально были созданы для масс, то есть чтобы абсолютно не специалисту можно было за пару сек. развернуть систему и сделать сайт. Но именно для масс, то есть коробочные варианты без допиливаний и настроек, не годятся.

bas · 23-05-2013, 08:16:39

Цитата: vold57 от 22-05-2013, 12:02:58Вообще, опять же, в "этом смысле" чем менее популярна CMS, тем она более безопасна.

так тут вообще без вариантов.

Цитата: vold57 от 22-05-2013, 12:02:58Joomla, WP

может, что подскажите дилетанту? Есть какие-то простые варианты, но довольно эффективные?

И какую угрозу в конечном итоге несет взлом сайта? Потеря информации, потеря доверия поисковиков, что еще может быть?

Alexluxe · 23-05-2013, 08:59:24

Идеального ничего нет!
Взламывают всё! У меня был сайт написанный на чистом html, закрыто от записи было ВСЁ, базы данных не было...
Взломали хостера, добавили на все сайты на сервере по своему разделу, папка создана от имени root сервера. Разделы-папки назвали типа ajax, images, template. С браузера, не зная url попасть невозможно. И устроили там линкопомойку.
Даже полная перезаливка сайта результатов не давала.

Нужно начинать с ответа на вопрос: от чего защититься?
От кражи контента? Забудьте. Отдавая - недавать невозможно.
От внедренных ссылок (особенно пользуясь левыми шаблонами и плагинами) ?
От комментирования спaмерами и тролями?

Кражи домена вместе с сайтом? ЦМС здесь непричем.

Как вариант: весь сайт на популярной ЦМС (или СУК: Система Управления Контентом). А отдельный, критический, раздел самописный.
Второй вариант, держать оригинальную копию на локальной машине, и перезаливать раз в неделю, или каждый день.

Есть третий вариант - трястись от стрaха, и ничего не делать.
На нашем форуме таких нет!