Обзор популярных систем управления контентом сайта

Борис Вольфсон

Спецвыпуск: Хакер, номер #067, стр. 067-022-3

Что насчет собственной CMS?

Довольно много web-программистов пытаются писать собственные CMS. По самым разным и множественным причинам. Некоторые считают, что написание своей системы управления контентом займет меньше времени, чем изучение чужой. Некоторые думают, что в собственной системе будет меньше дыр, чем в чужой, — постоянно проскакивает информация о новых уязвимостях в той или иной CMS. Чуть ли не каждую неделю появляются сообщения о дырах в nuke-системах управления контентом, другие системы тоже не отстают. Довольно громкое дело — взлом spreadfirefox.com, работающего на движке Drupal: админы просто не поставили новую версию.

Так стоит ли использовать CMS? Дело в том, что в популярной системе управления контентом дыры обнаруживаются потому, что не одна сотня сайтов пользуется ей и соответствующие проекты просматриваются сотнями глаз. А кто будет искать дыру на домашней страничке Васи Пупкина с посещаемостью один человек (его же мама) в месяц?

Чтобы не быть голословным, приведу конкретный пример. Недавно в контору, где я работаю, принесли сайт для сдачи. Мы тестировали его на безопасность. Буквально через десять минут мне удалось зайти в админку этого сайта, так как автор системы управления контентом оставил гигантскую дыру: почему-то при вводе пустого мыла при подписке на новости пользователя переносило в админ-интерфейс, где предоставлялся простор управлять всем сайтом.

Надеюсь, я убедил тебя, что пользоваться готовой CMS, проверенной временем, безопаснее, чем писать собственную. Дам пару советов по безопасности. Большинство взломов сайтом на CMS происходит по следующей схеме. Находится уязвимость в условной системе управления контентом «SuperCMS версии 2.47.58». Сообщество разработчиков этой системы выпускает новую безопасную версию, но не все владельцы сайтов обновляют ее. Тем временем злой хакер Петя узнает про уязвимость и пишет в Google запрос «SuperCMS 2.47.58». Дело в том, что некоторые CMS любят вставлять внизу свое название и версию «Powered by SuperCMS 2.47.58». В итоге Google выдает злому хакеру список сайтов, на которых стоит уязвимая версия SuperCMS. Так что очень желательно убрать из интерфейса сайта любое упоминание о том, на какой CMS он сделан, и тем более о версии CMS. Второй важный совет — подписаться на рассылку новостей CMS.

Основные функции системы управления контентом

ТИП: Список

СИСТЕМА ПОЛЬЗОВАТЕЛЕЙ — ПОЗВОЛЯЕТ НОВЫМ ПОЛЬЗОВАТЕЛЯМ РЕГИСТРИРОВАТЬСЯ НА САЙТЕ, ВКЛЮЧАЕТ В СЕБЯ МЕХАНИЗМ СЕССИЙ И РАСПРЕДЕЛЕНИЯ РОЛЕЙ ПОЛЬЗОВАТЕЛЕЙ.

СИСТЕМА СОЗДАНИЯ КОНТЕНТА — СОЗДАНИЕ И ИЗМЕНЕНИЕ СОДЕРЖАНИЯ САЙТА ЧЕРЕЗ WEB-ИНТЕРФЕЙС.

СИСТЕМА УПОРЯДОЧИВАНИЯ ИНФОРМАЦИИ — РАСПРЕДЕЛЯЕТ СОДЕРЖИМОЕ САЙТА ПО РАЗЛИЧНЫМ КАТЕГОРИЯМ.

ШАБЛОНИЗАТОР — ВКЛЮЧАЕТ ПОДДЕРЖКУ РАЗЛИЧНЫХ ТЕМ НА САЙТЕ.

СИСТЕМА НАСТРОЙКИ WEB-ИНТЕРФЕЙСА — ВЫБОР ЭЛЕМЕНТОВ (НАПРИМЕР ПУНКТОВ МЕНЮ), КОТОРЫЕ БУДУТ ДОСТУПНЫ ПОЛЬЗОВАТЕЛЯМ.

СИСТЕМА ХРАНЕНИЯ И ПОЛУЧЕНИЯ ИНФОРМАЦИИ — ОРГАНИЗУЕТ ДОСТУП К ИНФОРМАЦИИ, КОТОРАЯ СОХРАНЯЕТСЯ ЛИБО В БАЗЕ ДАННЫХ, ЛИБО В ТЕКСТОВЫХ ФАЙЛАХ (СЕЙЧАС ПОЧТИ НЕ ПРИМЕНЯЕТСЯ).