StartPublikacjeWłamanie się na 8 spośród 10 instalacji Joomla jest banalnie proste. Czy Twoje strony www są pośród nich?

Włamanie się na 8 spośród 10 instalacji Joomla jest banalnie proste. Czy Twoje strony www są pośród nich?

Oceń ten artykuł
(13 głosów)

80% witryn jest zagrożonych. Zgodnie ze statystykami portalu buildwith.com 8 na 10 stron internetowych jest podatna na włamanie z powodu nieaktualnego oprogramowania.

Głównymi czynnikami ryzyka są:

  • nieaktualna wersja Joomla (każda poniżej 3.4.5)
  • nieaktualna wersja PHP (każda poniżej 5.5.29)
  • nieaktualna wersja MySQL (każda poniżej 5.5.48)
  • nieaktualne wersje komponentów/modułów/pluginów do Joomla
  • nieaktualne wersje szablonów

Twoja strona strona www jest w niebezpieczeństwie, jeśli choć jedna z powyższych rzeczy jest nieaktualna.

Luki zdarzają się nawet w core Joomla

O tym, że zagrożenie nie jest teoretyczne mogli się przekonać ostatnio posiadacze Joomla w wersjach od 3.2 do 3.4.4. Miesiąc temu Zespół ds. Bezpieczeństwa Joomla ogłosił, że Asaf Orpani z Trustwave i Netanel Rubin z PerimeterX wykryli poważną lukę w CMS, pozwalającą - w prosty sposób - na przejęcie pełnej kontroli nad stroną. Oczywiście natychmiast wypuszczono uaktualnienie bezpieczeństwa, które otrzymało numer 3.4.5. I całe szczęście, bo już kilka dni później liczba ataków z wykorzystaniem tej luki urosła lawinowo.

Nieaktualne strony narażają reputację całej społeczności Joomla

W czasach, gdy zajmowałem się tworzeniem stron internetowych często musiałem się mierzyć z negatywną opinią na temat bezpieczeństwa Joomla. Wielu potencjalnych klientów opowiadało, że słyszeli o włamaniach na strony oparte na Joomla. Za każdym razem musiałem tłumaczyć, że Joomla każdego dnia jest testowany przez setki specjalistów od bezpieczeństwa i - z prawdopodobieństwem graniczącym z pewnością - Joomla w najnowszej wersji będzie bardziej bezpieczny niż każdy autorski CMS, a negatywne doświadczenia, o których słyszeli były związane ze stronami, które nie były na bieżąco uaktualniane. Dlatego trzeba mieć w pamięci, że aktualizacjąc Joomla chronimy nie tylko tę konkretną stronę www, ale reputację całego projektu Joomla.

Co powstrzymuje wykonywanie aktualizacji?

Wydawałoby się, że ryzyko włamania na stronę jest wystarczającym powodem do uaktualnienia oprogramowania strony www. Tymczasem okazuje się, że - według danych, którymi dysponujemy - wersja 3.4.5 jest do dziś zainstalowana na mniej niż 30% zagrożonych stron. Dlaczego tak się dzieje? Ankietowani przez nas administratorzy wskazali następujące powody:

  • Strona jest pozostawiona sama sobie i nikt, nie jest odpowiedzialny za jej aktualizację.
  • Właściciel strony nie jest skłonny płacić za aktualizację.
  • Aktualizacja strona spowodowałaby nadpisanie modyfikacji core Joomla lub rozszerzeń.
  • Cała procedura uaktualniania strony www jest wyjątkowo żmudnym zajęciem.
  • Testowanie strony www po aktualizacji jest bardzo czasochłonne, a i tak trudno wykryć potencjalne usterki.

Są rozwiązania częściowe…

Niektóre z tych trudności można przezwyciężyć za pomocą dostępnych od dłuższego czasu rozwiązań. Narzędzia takie jak MyJoomla czy Watchful pozwalają na uaktualnienie wielu stron z jednego panelu. Akeeba Backup i Kickstart upraszczają wykonywanie backupów i ich odtworzenie w razie problemów. Casper.JSCodeception pozwalają przygotować scenariusze testowe, które można następnie uruchomić na uaktualnionej stronie i sprawdzić co nie działa.

…które połączyliśmy w Perfect Dashboard

Niestety każde z tych pożytecznych narzędzi działa niezależnie od siebie i żadne nie rozwiązuje wszystkich problemów w pełni. Uznaliśmy, że społeczność web developerów zasługuje na coś lepszego. Wykorzystaliśmy nasze doświadczenie z tworzenia popularnych rozszerzeń do Joomla takich jak Perfect Contact FormEverything in Everyway i stworzyliśmy pierwszą całościową platformę do uaktualniania stron internetowych - Perfect Dashboard.

Zrób backup, uaktualnij i przetestuj jednym kliknięciem myszy

Perfect Dashboard, to nie tylko jeden panel, z którego możesz jednym kliknięciem zlecić update wszystkich swoich stron. To także potężny silnik, który przeprowadzi testy Twojej strony i poinformuje Cię, czy jakieś elementy strony zmieniły się po aktualizacji. Co więcej, to narzędzie, które nie tylko wykona za Ciebie backup, ale także zweryfikuje go odtwarzając stronę na naszym serwerze i porównując plik po pliku czy żaden nie jest uszkodzony. Dodatkowo - już wkrótce - Perfect Dashboard przebada stronę www pod kątem modyfikacji w core Joomla i kodzie rozszerzeń wskazując, które partie kodu należy przenieść do nowej wersji oraz doradzi jak zrobić to zgodnie ze sztuką, żeby oszczędzić czas przy przyszłych update’ach.

Żadna strona nie powinna być samotna.

W Perfect Web głęboko wierzymy, że żadna strona www nie powinna być pozostawiona sama sobie. Z drugiej strony jesteśmy świadomi, że wielu web developerom nie jest łatwo przekonać swoich klientów do zainwestowania w opiekę administracyjną nad stroną www. Chcemy to zmienić. Dlatego, oprócz wbudowanej w Perfect Dashboard funkcji generowania raportów z Twoim logo dla klientów, na naszym blogu będziemy publikować serię artykułów poświęconym sposobom na przekształcenie jednorazowych „nabywców strony www” w stałych klientów, których stronami administrujecie.

Wspólnie możemy uczynić Internet bezpieczniejszym

Podsumowując, uaktualniając strony www nie tylko poprawiasz reputacje projektu Joomla w świecie, nie tylko generujesz dodatkowy cykliczny przychód ze swojej obecnej bazy klientów, ale także przyczyniasz się do eliminacji stron www, które mogą zarazić wirusem odwiedzających je użytkowników. Dzięki Perfect Dashboard uaktualnianie jeszcze nigdy nie było tak proste i głęboko wierzę, że razem jesteśmy wstanie uczynić Internet bezpieczniejszym.

Ostatnio zmieniany Wt. 8 Gru 2015
comments powered by Disqus Powrót na górę

Aktualności - spis treści

Oglądasz teraz:   StartPublikacjeWłamanie się na 8 spośród 10 instalacji Joomla jest banalnie proste. Czy Twoje strony www są pośród nich?

Twoje konto