1 . 2 . 3

Дефейс движков сайтов

Ошибка седьмая. Использование в CMS элементов, которые устанавливают пользователи. Очень частая ошибка вебмастеров кроется в том, что при выборе того или иного движка они не смотрят на то, насколько движок защищен от атак извне. Выражается это очень часто в установке вредоносного кода (см. ошибку шесть) в страницы сайта вполне легитимным путем: через установку подписи, удаленного изображения до аватара, создания персонального HTML-блока в анкете, на которую любым путем пытаются завлечь администратора. Соответственно, при отсутствии качественного межсетевого экрана и при наличии безалаберного администратора, вся необходимая информация окажется в руках злоумышленника. Вывод - запрещать установку определенных типов файлов в качестве аватаров, в качестве разрешенных файлов для вложений на сайте, запрещать использование HTML-кода в подписях, различных текстовых полях ввода данных (новости, статьи, посты, комментарии), а также (специально для вебмастеров) - просмотр сайта на предмет новых сообщений/событий/записей на отдельной учетной записи, которая не имеет доступа к жизненно важным разделам CMS и не связана с администраторскими функциями. Для этих целей есть модераторы и супермодераторы, а администратор (если это настоящий администратор) в форумах и прочих движках следит только за техническим состоянием системы, дизайном и продвижением ресурса.

Итак, мы рассмотрели основные семь ошибок вебмастеров, которые допускают в той или иной степени все, кто занимается создание вебсайтов на непрофессиональном или полупрофессиональном уровне. Профессионалы разрабатывают собственные CMS, привлекают к их созданию больше специалистов, чем даже крупные разработчики, именно поэтому их движки являются безопаснее традиционных CMS, распространяемых в Интернете в свободном доступе.