Melyik CMS rendszer a legbiztonságosabb?
Egy korábbi ügyfelünk tette fel a kérdést, az egyik új projektje kapcsán: Melyik CMS rendszer megbízhatóbb biztonság szempontjából, a zárt (closed) vagy a nyílt forráskódú (Open source)?
A biztonságról általában
Azt mondani, hogy a zárt, vagy nyílt forráskódú tartalomkezelő-e a biztonságosabb nem olyan dolog, melyre rá lehet vágni egyértelműen, hogy az egyik, vagy a másik. Szükség van, valódi objektív bizonyítékra, melyekkel alátámaszthatjuk igazunkat.
CMS biztonság nyílt forráskód esetén
Ha megnézzük az utóbbi idők legnépszerűbb open source CMS rendszereit (WordPress, Drupal, Joomla), tudnunk kell, hogy ezen rendszereket 10 ezrek fejlesztik világszerte nap mint nap. Azt is érdemes szem előtt tartani, hogy mivel a kód gyakorlatilag bárki számára elérhető, tovább fejleszthető, ezáltal a sebezhetősége is nagyban megnő. A fejlesztők igyekeznek ugyan mindig a legfrissebb verziójú rendszert elérhetővé tenni, azonban ez sokszor kevésnek bizonyul.
A leggyakrabban támadott nyílt forráskódú ingyenes honlapmotor a WordPress, és a Joomla. Korábbi ügyfeleim sorra számoltak be szerver leállásokról, oldal megbénulásokról, és egyéb az oldalukat (akkor még open source) ért különböző támadásokról. Alapvetően nagyon sok javítás, patch érkezik ezekhez a rendszerekhez, melyek elméletileg befoltozzák a biztonsági rések többségét, azonban aki átlag felhasználó, és készen kapta meg a nyílt CMS-re épült oldalát, nagy valószínűséggel nem fogja tudni mit tegyen, már egy BruteForce támadás esetén sem.
CMS biztonság zárt forráskód esetén
A másik oldalon ott vannak a zárt forráskódú CMS-ek, melyek alap kódja nem nyilvános, a fejlesztő team írja, fejleszti, teszteli, és tulajdonolja is a szoftvert. Ők ismerik a saját rendszerüket, ami azt is jelenti, hogy ismerik a biztonsági réseket, melyeket folyamatosan fejlesztenek, frissítik alaprendszerüket, így kiküszöbölve a sebezhetőséget. Mivel a hackerek nem ismerik, nem látják a kódot, így jóval nehezebb nekik rést találni egy olyan rendszeren, melynek forráskódja zárt.
Melyik a jó választás?
Általánosságban elmondhatjuk, hogy 100%-os biztonságú CMS rendszert, alig ha találunk, így érdemes felmérni azt, milyenek az üzemeltetés lehetőségei. A zárt forráskódú CMS-ek esetén általában a licence díj tartalmazza a folyamatos frissítéseket, javításokat, ellenben a nyílt CMS-ekkel szemben. Ha úgy döntünk, nyílt forráskódú rendszert használunk érdemes egy szakembert alkalmazni, megbízni a folyamatos frissítések naprakészen tartásával, azok tesztelésével, és hatékonyságának elemzésével.