Aktualizacje systemów CMS co to jest i dlaczego warto pytać o wsparcie techniczne

Na początku chciałbym zaznaczyć, że wpis ten kieruję do osób, które zamierzają zamówić wykonanie serwis www lub są w trakcie jego tworzenia.

Internet jest najszybciej rozwijającym się medium. Niestety pojawienie się nowych możliwości niesie za sobą również nowe zagrożenia w postaci nieuprawnionego dostępu do naszych zasobów skrzynki email, konta bankowego, czy naszej strony www. Wielu klientów, z którymi mam przyjemność współpracować cały czas ma problem ze zrozumieniem istoty funkcjonowania serwisów internetowych z wdrożonym systemem zarządzania treścią tzw (CMS). Dla większości z nich strona internetowa to tylko ta część, która jest widoczna w oknie przeglądarki dla użytkownika końcowego. Przestałem się temu dziwić, ponieważ mi też nic nie mówią takie pojęcia jak prześwit względny blachy perforowanej czy okluzja. Nie wiem i nie zamierzam się zagłębiać póki nie będę zmuszony do działania w przestrzeni, w której w/w pojęcia odgrywają jakąś kluczową rolę.

Wracając do tematu CMS. W momencie, gdy klient decyduje się na wykonanie strony z „panelem zarządzania” czy też z wykorzystaniem CMS powinien mieć świadomość, że instalujemy mu system ( program) , który jest narażony na wszelkiego rodzaju niepowołany dostęp czy ataki hackerów ( Nawet statyczna strona wykonana wykonana w html z wykorzystaniem bibliotek JavaScript na takie ataki może być podatna ).

1. Każda strona www, która jest dostępna publicznie może paść ofiarą ataku.

Dowodem na to twierdzenie jest fakt, że hackerzy z powodzeniem przejmują kontrolę nad serwisami rządowymi czy stronami międzynarodowych organizacji, które potencjalnie powinny być najlepiej chronione wręcz „kuloodporne”.

2. Większość ataków, których celem jest wyłudzenie, zainfekowanie komputera lub pobranie złośliwego oprogramowania nie jest skierowana personalnie do właściciela strony www.

Uproszczony schemat takiego ataku polega na automatycznym wyszukiwaniu słabych punktów ( podatności ) popularnych systemów lub bibliotek programistycznych i umieszczenie złośliwego kodu, który przekierowuje użytkownika np: na fałszywe strony banków, do stron z pornografią lub stron z tzw wirusami. Atakujący nie ma pojęcia, kto jest właścicielem strony i w 100% nie jest tym zainteresowany.

3. CMS – Strona internetowa to nic innego jak program zainstalowany na twoim komputerze jego zadaniem jest zarządzanie treścią i nie tylko twojej strony internetowej wymaga aktualizacji bezpieczeństwa  jak każde inne oprogramowanie zainstalowane na komputerze.

Moim klientom jako przykład podaję porównanie z systemem operacyjnym Windows, który mają zainstalowany na komputerze ( Wiem że niezbyt fortunne, ale do czegoś powszechnego trzeba się odnieść) Co jakiś czas Windows wysyła do Państwa monity o konieczności aktualizacji systemu i oprogramowania Microsoft w celu zwiększenia poziomu bezpieczeństwa czyli załatania wykrytych w systemie i oprogramowaniu dziur , które komputerowi przestępcy mogą wykorzystać, żeby przejąć kontrolę nad naszym komputerem. Wtedy klikamy aktualizuj i Windows pobiera sobie wszystkie potrzebne pliki.

Wtedy pada zawsze zarzut, że Windows jest za darmo z komputerem albo za kilkaset złoty a aktualizacje są darmowe.

Wtedy odpowiadam,  że Windows jest wliczony w cenę komputera i sprzedawany jest nazwijmy w ilościach hurtowych. I taki jak Pan otrzymał taki musi Pan / Pani używać. Instalacja innego oprogramowania odbywa się na własne ryzyko. Nad bezpieczeństwem musi czuwać Pan sam lub zlecić to odpłatnie informatykowi.

W przypadku stron www – tworzymy serwis na indywidualne zamówienie. Według Pana / Pani wskazówek i przez pierwsze 12 miesięcy ponosimy odpowiedzialność za bezpieczeństwo tego oprogramowania. Po 12 miesiącach podobnie jak informatyk dbający o Pana / Pani komputer pobieramy opłaty.

Windows służy tylko Panu / Pani a strona internetowa jest dostępna dla tysięcy, setek tysięcy użytkowników i może być modyfikowana według Pańskiego życzenia.

Żeby zabezpieczyć swój Windows musi Pan dokupić program antywirusowy i co roku płacić za odnowienie licencji. Kiedy Pan tego nie zrobi dojdzie do zawirusowania systemu, utraci dane lub zniszczy komputer.  Nie oskarży Pan wtedy firmy Microsoft, tylko odczuje Pan / Pani wymierną stratę finansową.

3. Nawet drogie komercyjne i autorskie systemy zarządzania treścią są podatne na ataki.

Patrz punkt 2. Spotkałem się w swojej pracy z bardzo drogimi CMS, i innymi autorskimi rozwiązaniami, które wykorzystują powszechnie dostępny kod źródłowy. Myślę tu przede wszystkim o edytorach tekstów takich jak CKEeditor czy TinyMCE oraz innych bibliotekach. W wielu przypadkach edytory te nie były przez lata aktualizowane przez co na serwerze zagnieździły się dziesiątki zainfekowanych plików.

Jedynie firmy z dużym kapitałem są wstanie zgodnie z prawem licencjonować te produkty. Koszt licencji dla jednej komercyjnej strony to kwota rzędu 299 dolarów dla CKEeditor. Niestety większość autorskich rozwiązań kończy się tym, że nie mamy możliwości aktualizacji systemu do najnowszych bezpiecznych wersji ponieważ autora po prostu nie stać na kosztowne aktualizacje.

Z tego powodu w mojej firmie proponujemy rozwiązania oparte na licencji GNU GPL. Oferujemy wykonanie stron www w oparciu o dwa systemy zarządzania treścią Joomla i WordPress. Dzięki licencji GNU GPL nie jesteśmy zmuszeni do ponoszenia tak dużych opłat.

4. WordPress i Joomla nie są idealne

Otwartość i dostępność kodu tych CMS powoduje, że stają się one często celem ataków hackerów. Niemniej dzięki międzynarodowej grupie programistów wolontariuszy z całego świata luki bezpieczeństwa są szybko wykrywane i wypuszcza się tzw aktualizacje , które właściciele witryn powinni wgrywać.

Z tej przyczyny przez okres 12 miesięcy od daty wdrożenia strony www moja firma oferuje bezpłatne wsparcie techniczne.

Po tym okresie usługę aktualizacji oprogramowania i wykonywania kopii bezpieczeństwa wykonujemy odpłatnie. W tej kwestii nie różnimy się zbytnio od rozwiązań komercyjnych niekiedy 3 – 4 krotnie droższych

5. Strony w oparciu WordPress i Joomla wbrew pozorom nie są darmowe

W joomla i WordPress darmowy jest system CMS ( oprogramowanie ) a już znaczna część szablonów,  modułów komponentów i dodatków rozszerzających możliwości tych systemów jest płatna.

Model rozliczeń opiera się w głównej mierze na ,subskrypcji dostępu do danych narzędzi ( modułów dokumentów, dodatków, szablonów) i czasu wsparcia technicznego. Oznacza to, że jeśli chcemy aby nasze narzędzia były zawsze aktualne musimy płacić za dostęp do zasobów, możliwości pobierania, oraz za udzielone nam wsparcie techniczne. Kiedy mija okres subskrypcji musimy się zdecydować czy chcemy nadal mieć aktualne oprogramowanie czy też wolimy zaprzestać wsparcia technicznego i liczyć się z potencjalnym atakiem na naszą stronę www.

Kolejnym płatnym elementem wdrażania CMS Joomla i WordPress jest praca grafika odpowiedzialnego za wygląd, programisty, web developera. To on w pierwszym etapie dba o instalacje, konfiguracje całego systemu zgodnie z oczekiwaniami klienta. To w większości przypadków on wykonuje kopię bezpieczeństwa na serwerze lub na dysku lokalnym komputera, przeprowadza aktualizację i usuwa ewentualne problemy powstałe w trakcie tego procesu. Pamiętajmy, że aktualizacja to nie kliknięcie przycisku aktualizuj. To przygotowania do przeprowadzenia aktualizacji oraz działania naprawcze w przypadku gdyby: przerwano połączenie z serwerem, nastąpił konflikt między parametrami serwera a wymaganiami łatki aktualizacyjnej itp, itd.

W przypadku rozwiązań komercyjnych ten mechanizm funkcjonuje podobnie. Dopóki mamy okres gwarancyjny dopóty wszystkie aktualizacje mamy darmowe. Po tym okresie musimy się liczyć z dodatkowymi kosztami.

Podsumowując drogi potencjalny kliencie

  1. Musisz się liczyć że wykonanie strony www to nie jest jednorazowy koszt.
  2. Im bardziej wdrożenie  serwisu będzie wymagało dostosowania do Twoich potrzeb pod względem funkcjonowania i wyglądu tym większa będzie cena ostateczna.
  3. Pamiętaj, żeby zawsze ustalić przed rozpoczęciem prac nad stroną www. jak długo trwa okres gwarancyjny i jak szybko firma reaguje na problemy z funkcjonowaniem strony www w trakcie okresu gwarancyjnego i po jego zakończeniu.
  4. Zapytaj jakie rozwiązania oferuje firma po zakończeniu okresu gwarancyjnego.
  5. Podlicz i porównaj rozwiązania komercyjne i rozwiązania oparte na systemach GNU GPL – wybierz te, które będą w zasięgu Twojego portfela i spełnią twoje oczekiwania.