-систему контроля безопасности, позволяющую в реальном времени осуществлять мониторинг уязвимостей и изменений в потенциально-опасных файлах;
-возможность встроенными средствами защитить определенные папки веб-сервера, от посещения пользователями, путем полного запрета доступа конкретным подсетям или установки режима авторизации;
-веб-интерфейс редактирования шаблонов с подсветкой HTML‑кода;
-систему контроля версий шаблонов, позволяющую восстанавливать состояние файлов шаблона графического дизайна и показывать различия в коде;
-возможность ограничения доступа к интерфейсу администратора по спискам разрешенных IP‑адресов;
-более 1000 страниц документации, с полным описанием всех функций и переменных исходного когда проекта, на английском языке;
-более 4000 бесплатных компонентов, добавляющих дополнительный функционал;
-более 1000 бесплатных графических шаблонов, распространяемых бесплатно на сайте проекта;
-5608765 загрузок дистрибутива, по данным официального сайта на начало мая 2009 года.
После успешной установки и настройки системы управления контентом, зачастую возникает вопрос о методах защиты веб-ресурса от несанкционированного доступа и хакерских атак.
На сегодняшний момент сайт это часть инфраструктуры предприятия. Он также плотно ассоциируется с брендом компании, как визитная карточка, логотип или что-либо подобное. Взломанный сайт – это удар по репутации и имиджу компании. Например, в крупных компаниях, которые котируются на бирже, появление уязвимости вызывало колебание курса акций.
Для определения мер безопасности, составим список потенциальных угроз, для любого сайта, работающего на движке системы управления контентом:
-SQL‑инъекция (по данным компании Positive Technologies, каждый второй веб-сайт в сети интернет подвержен SQL‑инъекции);
-отсутствие регулирования прав на запись в каталогах CMS;
-отсутствие механизма, обеспечивающего контроль целостности исходного кода системы управления контентом;
-стандартные пароли на доступ к панели администрирования;
-возможность доступа к административному интерфейсу с любых IP;
-подмена содержимого;
-межсайтовое выполнение сценариев (XSS);
-переполнение буфера;
-отказ в обслуживании;
-взлом сторонних веб-приложений, размещаемых на одном сервере с системой управления контентом;
-взлом базы данных системы управления контентом.
Список угроз достаточно велик, нет смысла приводить все возможности взлома, так как любой программный продукт содержит уязвимости.
Единственное различие на данный момент – материальные средства, которые необходимо затратить для получения какого-либо доступа.
Для обеспечения высокого уровня защищенности следует выполнять ряд мер по безопасности:
-аудит информационной среды (сервера, ОС, распределение прав доступа);
-аудит веб-приложений;
-контроль целостности исходного кода;
-постоянный мониторинг проекта;
-ежедневное резервное копирование базы данных и файлов системы;
-единая система авторизации для всех веб-приложений (CMS, форумы);
-возможность шифрования информации при передаче;
-журналирование неудачных попыток авторизации и любых попыток взлома;
-настройка активной реакции системы при попытке вторжения на сайт;
-разграничение доступа между пользователями (доступ к файлам и каталогам, доступ к модулям и логическим операциям в модулях);
-независимость системы контроля доступа от бизнес-логики страницы (ограничение доступа к административному интерфейсу по спискам IP).
На сайтах «Центр занятости населения г. Новомосковска», ЗАО «Росинтел» и других веб-проектах, выполненных за время изучения данной проблемы, были приняты меры по обеспечению безопасности систем управления контентом.
Многие из перечисленных выше возможностей, уже реализованы в современных CMS, например, в «Wordpress» на сайте ЗАО «Росинтел».
Постоянные обновления версии системы управления контентом, свеб-сервера Apache, сервера баз данных и других компонентов системы, используемых для обеспечения работы веб-сайта, позволяют уменьшить количество уязвимостей.
Главным и, возможно, самым эффективным способом реализации безопасности веб-приложения является минимизация возможности доступа к административным ресурсам системы управления контентом, базы данных и сервера в целом.
Системы управления контентом, рассмотренные в данной дипломной работе являются бесплатными и свободно распространяемыми по лицензии GPL. В данной ситуации имеются свои плюсы и минусы. С одной стороны – открытый исходный кож позволяет дорабатывать, изменять, добавлять элементы систем управления контентом без необходимости связи с разработчиками. С другой – дает возможность злоумышленникам подробно изучить все «узкие места» и воспользоваться ошибками разработчиков.
В плане безопасности, «Wordpress» является более защищенным из-за встроенных возможностей ограничения доступа к административному интерфейсу, инструментам создания «ревизий» информационного материала, гибких функций разделения административных прав между пользователями.
Система управления контентом «Joomla!» имеет большое количество выявленных уязвимостей, постоянно закрываемых заплатками разработчиков. В данный момент система выпускается в двух дервиях 1.5.х и 1.0.х. Версия 1.0.х, с 16 июля более не поддерживается. В данном случае, есть необходимость переводить все имеющиеся проекты на версию 1.5.15 и выше.
В плане удобства и функциональности – обе системы управления контентом показали себя хорошо. У каждой есть свои преимущества и недостатки, каждая создана для отдельного класса сайтов. «Joomla!» больше подходит для стандартных проектов, выполняющих функцию представления определенной информации заказчика, каталогизации по разделам, добавления форм связи. «Wordpress» обеспечивает весь функционал «Joomla!», имеет уникальные возможности по работе неограниченного числа авторов одновременно, более гибкий в настройке и расширении.
Подходя со стороны пользователя – обе системы пригодны для комфортного просмотра страниц и получения информации. В случае использования «Joomla!» время генерации страницы несколько больше, чем при просмотре сайтов построенных на «Wordpress».
Обе системы обладают административным интерфейсом, предназначенным для создания, редактирования и удаления записей; манипуляций с темами оформления и внутренними параметрами системы; добавления расширений и операций с пользователями. «Wordpress» имеет более дружественную административную панель, легко-изменяемую и удобную в использовании.
Исходя из расхода системных ресурсов – «Wordpress» является более ресурсо-потребляющим. Нагрузка на ОЗУ сервера составляет 50–120 Мб, в зависимости от установленных модулей дополнения. При использовании «Joomla!» нагрузка доходит до 20–40 Мб.
Работа с шаблонами оформления в обеих системах организована на высоком уровне. Обе позволяют изменять код шаблона из интерфейса администратора. «Wordpress» имеет более гибкие решения и внутренние операторы, что позволяет добавлять на сайт интерактивные элементы без каких-либо ограничений. Структура шаблона более прозрачна, допускается выполнение произвольного PHP‑кода.
При разработке и вводе в эксплуатацию обе системы показали себя на высоком уровне. После детального изучения функциональных особенностей, можно сделать вывод о том, что системы предназначены для сайтов разного уровня и класса. Обе системы пригодны для создания типовых веб-сайтов. При организации интернет-сообществ или крупных медиа-проектов следует использовать «Wordpress» или более серьезные, коробочные продукты. Для сайтов-визиток и информационных сайтов с посещаемостью менее 5000 в сутки отлично подойдет «Joomla!».
Проведено исследование предметной области. На основе результатов разработана новая структура представления данных в информационных системах обоих проектов; созданы модели данных каждого раздела; имеющиеся контроллеры данных, выполняющие функцию по обработке и выполнению операций, оптимизированы под поставленные требования; созданы новые веб-формы и элементы дизайна для ввода, вывода и обработки данных.
Информационная система «Центр занятости населения г. Новомосковска» была перенесена на виртуальный хостинг, находящийся в датацентрне компании «Хостинг-Центр РБК». Зарегистрировано отдельное доменное имя второго уровня.
При разработке веб-ресурсов были использованы две различные системы управления контентом. Данный факт позволил провести сравнительный анализ обеих систем.
Результатом выполненной работы стали полноценные информационные системы, позволяющие производить публикацию любого материала, создающие инструменты коммуникации между заказчиками и посетителями ресурса, удобные и гибкие в администрировании, интуитивно-понятные конечному пользователю, готовые к расширению и дальнейшей модернизации.
Интернет-ресурс, созданный для Центра занятости населения, позволит получить исчерпывающую информацию о представленных вакансиях, предоставит возможности просмотра новостей и быстрого поиска по информационным материалам сайта – трудовому законодательству и публикациям центра занятости.
Применяемая система многопользовательского доступа, при необходимости, предоставит возможность ввести на сайте раздел публикации резюме, способствующий созданию кадровой базы соискателей. Создано полноценное описание функциональных элементов ресурса, позволяющее сотрудницам ЦЗН самостоятельно заниматься обновлением собственного сайта.
Веб-ресурс ЗАО «Росинтел» претерпел кардинальные изменения. Они коснулись как информационной структуры, так и технической реализации отображения страниц.
Переход на систему управления контентом позволил отказаться от вывода статических страниц и предоставил возможность размещать динамические блоки на сайте. Создан стиль оформления и графический шаблон.