Fokus 3: Plugin dan protokol keamanan CMS

Dalam wawasan yang telah kami publikasikan dalam beberapa minggu terakhir, kami berfokus pada beberapa aspek utama terkait keamanan situs web, e-niaga, atau blog. Di antara ini mari kita ingat misalnya hosting sebuah situs, variabel mendasar untuk menjamin fungsi sistem yang sempurna 24 jam sehari. Namun seperti yang sering terjadi di web, gambaran lengkap hanya dapat diperoleh dengan menyusun lebih banyak potongan teka-teki, sehingga tidak cukup hanya berhenti di hosting atau pemeliharaan biasa saja. Ada yang lain faktor yang menentukan keamanan sebuah website, dan di antaranya kita harus menyertakan protokol plugin dan platform Sistem Manajemen Konten, dari WordPress hingga Joomla!. Plugin dan CMS sebenarnya bisa menjadi pintu gerbang ke serangan dan malware, dengan dampak negatif yang jelas dalam hal efisiensi situs dan kehilangan data. Jadi mari kita lihat cara mencegah skenario ini, dan sebelum itu praktik terbaik apa yang harus diterapkan.

APA PLUGIN DAN BAHAYA APA MEREKA MENGHAPUS SITUS ANDA

Pasar plugin, dalam beberapa tahun terakhir, telah mengalami ledakan yang mengesankan, berkat apresiasi publik dan keakraban yang diperoleh banyak pengguna terhadap integrasi ini. Satu klik sederhana dan plugin diinstal dan aktif, siap untuk memperluas dan memperluas kemungkinan operasional situs web. Dari buletin hingga spanduk persetujuan hingga pemrosesan data, dari kloning konten hingga pengoptimalan gambar, ada ratusan dan ratusan plugin untuk semua jenis kebutuhan. Itu adalah perusahaan yang sama dan pengembang perangkat lunak dan program komputer yang sama yang membuat fungsi produk mereka tersedia juga dalam format plugin. Ini memungkinkan pengguna, bahkan yang paling tidak berpengalaman, untuk mengimplementasikan program dari panel administrasi CMS, misalnya untuk menjual produk secara online.

Singkatnya, Manfaat plugin sangat banyak, sampai-sampai membuat alat ini hampir tak tergantikan. Namun di samping manfaatnya tetap ada masalah yang harus dipahami dan dikelola dengan benar: keamanan. Untuk alasan apa plugin dapat membahayakan proyek digital Anda? Mari kita coba menjawab dengan daftar singkat kasus berulang:

•  plugin tidak datang lagi diperbarui, dan ini menciptakan kelemahan yang dapat dieksploitasi oleh peretas untuk keuntungan mereka, "memasuki" situs dan memasukkan baris kode berbahaya (untuk mengalihkan produk, survei, menghapus seluruh halaman, dll.)
• plugin asli datang disalin dan dimanipulasi, hanya untuk diunggah ke situs yang dibuat oleh cracker dengan tujuan menipu orang agar percaya bahwa mereka mengunduh plugin yang asli. Pada saat itu, menginstal plugin berisiko membahayakan seluruh situs.
• plugin datang dihapus dari direktori resmi, tetapi tetap terpasang di situs Anda. Kemungkinan ini sering terjadi di WordPress, CMS yang paling banyak digunakan dan paling terkenal di dunia. Singkatnya, tim di belakang WordPress dapat memutuskan untuk menghapus plugin dari direktori resmi ketika menemukan ketidakcocokan atau elemen penting lainnya. Pada saat itu plugin tidak akan diupdate lagi, dan ini, lagi-lagi, akan membahayakan mereka yang masih menggunakan plugin tersebut di website mereka.

CARA MENGANALISIS PLUGIN DAN STANDAR KEAMANAN

Ada beberapa praktek terbaik yang dapat diimplementasikan untuk meningkatkan keamanan situs tanpa mengorbankan kenyamanan plugin. Meskipun saat ini tidak ada protokol universal untuk pengembangan plugin seperti untuk menjamin keaslian dan kualitasnya, tentu tidak ada kekurangan tindakan pencegahan yang harus kita semua ikuti. Semakin banyak kepastian yang kita miliki, semakin tinggi standar keamanan plugin, semakin sedikit kepastian yang kita temukan, semakin tinggi risiko penurunan pertahanan kekebalan situs setelah plugin diinstal. aku'analisa karenanya harus mempertimbangkan hal-hal berikut:

• tanggal pembaruan plugin terakhir (jika usang, risikonya meningkat, jika baru-baru ini, risikonya berkurang)
• kompatibilitas dengan versi terbaru WordPress atau CMS lainnya
• ulasan dari orang-orang yang telah mengunduh plugin
• dokumentasi teknis yang tersedia
• komentar pengguna dan tanggapan pengembang
• situs web resmi plugin atau perusahaan yang mengembangkannya

Tak perlu dikatakan bahwa pemeriksaan yang dilakukan dengan sedikit akal sehat memungkinkan Anda untuk memahami dengan presisi tertentu apakah plugin tersebut dapat diandalkan atau tidak. Apakah ulasannya negatif? Pengembang tidak menjawab pertanyaan? Apakah dokumen yang diperlukan hilang? Apakah tanggal pembaruan terakhir beberapa tahun yang lalu? Lebih baik biarkan saja…

KEAMANAN SISTEM MANAJEMEN KONTEN

Sekarang kita telah melihat secara rinci persyaratan untuk mengidentifikasi plugin yang aman, mari beralih ke masalah Sistem Manajemen Konten, yaitu sistem administrasi konten dari suatu situs atau ruang virtual (halaman arahan, forum, blog, dll.). Di sini juga dibutuhkan bukan panduan tetapi seluruh buku, karena setiap CMS berbeda dari yang lain, dan standar keamanan yang kurang lebih tinggi telah dicapai untuk setiap CMS, tergantung pada pembaruan yang sedang digunakan. Jika kita baru saja mencapai versi 5.0 untuk WordPress, misalnya untuk Joomla! kami masih di 3.9, sedangkan untuk Magento kami mendekati 2.4. Peringatan, ini tidak berarti bahwa keamanan lebih besar jika nomor versinya lebih tinggi: beberapa CMS baru saja lahir belakangan, jadi Anda perlu mengetahui evolusi masing-masing dengan baik dan menafsirkan mood jaringan, membaca apa yang tertulis tentang pembaruan terbaru.

Jelas tidak hanya pada hal ini saja kami akan mendasarkan prediksi kami. Jika kita ingin mendapatkan yang maksimal dalam hal keamanan, kita harus berusaha untuk menjaga platform CMS diperbarui ke versi terbaru: semakin kita menjauh dari pembaruan terbaru yang dirilis, semakin besar risiko keamanan situs, sekali lagi karena lubang yang dibuat dan di mana seseorang dapat tergelincir.

Cara memperbarui CMS tanpa mengambil risiko

Memperbarui CMS bukanlah operasi yang bisa ditangani dengan mudah, terutama jika itu adalah rilis besar (seperti versi terbaru WordPress). Strategi terbaik adalah cadangkan data Anda sebelum mengunduh dan menginstal versi baru. Ini karena bisa terjadi konflik antara tema dan CMS, atau antara plugin dan CMS, dengan risiko kehilangan konten, terjemahan, gambar, dan lainnya. Untuk fungsi cadangan Anda silakan merujuk ke bab sebelumnya yang didedikasikan untuk pemeliharaan situs biasa dan luar biasa.

CMS UMUM, MANAJEMEN PEMILIK, ATAU SITUS WYSIWYG?

Pertanyaan terakhir yang ingin kami tanyakan kepada Anda dalam hal keamanan menyangkut perbedaan antara CMS umum (tepatnya WordPress, Magento, Joomla! dan lainnya), yang disebut sistem manajemen berpemilik dan situs web dari tipe "apa yang Anda lihat adalah apa yang Anda dapatkan" (dari Jimdo hingga Wix melalui Weebly dan lainnya). Berikut ringkasan pendekatan keamanan dari setiap alternatif, sebagaimana tercermin dalam pengalaman kami selama puluhan tahun di bidang pengembangan dan pemeliharaan situs web.

•  CMS Umum: seperti yang telah kita lihat, tanggung jawab untuk mengonfigurasi lingkungan yang sehat dan aman berada di tangan tim yang mengerjakan pembaruan CMS, tetapi juga pada ketepatan waktu dari mereka yang memantau pembaruan CMS dan plugin.
• Manajemen hak milik: jika situs dikembangkan dengan platform atau kode yang dimiliki oleh agen web atau master web, keamanan hampir sepenuhnya diserahkan ke tangan penghubung yang bertugas, yang harus menjamin kepatuhan penuh dengan standar perlindungan yang memadai.
• Situs Apa yang Anda Lihat Adalah Apa yang Anda Dapatkan: solusi ini mewakili persilangan antara CMS paling populer dan sistem manajemen pribadi, karena memungkinkan pengguna untuk mengontrol dan mengelola situs mereka sendiri hanya dengan menyeret dan menjatuhkan konten ke halaman. Bertanggung jawab atas keamanan, dalam hal ini, adalah perusahaan yang mengembangkan solusi WYSIWYG, tetapi berhati-hatilah, karena menurut rencana berlangganan, bantuan mungkin cukup, bagus, atau hampir tidak ada sama sekali.

Angsuran ketiga kami berakhir di sini. Studi berikutnya akan fokus pada topik yang sangat topikal: pemrosesan data dan tanggung jawab pribadi terhadap pengguna yang mengunjungi situs web, e-niaga, atau blog kami dengan itikad baik. Siap? Terus ikuti kami, sampai jumpa lagi!