Безопасность CMS
Я всегда говорю и буду настаивать на своем мнении, что большинству сайтов CMS не нужны и только излишне нагружают их. Это касается простых сайтов-визиток и даже бизнес сайтов компании, где максимум что используется это модули новостей. Написать модуль обновления новостей для контент-менеджера может любой программист за несколько минут. Организовать защиту этого модуля не представляет труда, достаточно обработать все входящие данные и оправлять параметризованные SQL запросы. В случае использвования CMS вы не всегда можете быть уверены в максимальной защите.
Несколько моих блогов управляются на WordPress. Каждые 2-3 недели выходят 30-40 обновлений безопасности ядра, а значит что каждые 2-3 недели назад выходило обновление с множеством дыр. Конечно не все они критичные, но некоторые могут открывать возможности для взлома. Лучше использовать платную CMS для управления сайтом, так как над ней трудятся множество программистов, получающие за это заработную плату, а следовательно и код становиться качественнее. Я не говорю, что платные CMS нельзя взломать, но и не говорю обратного. Просто любой обнаруженный баг, тут же разлетается по хакерским форумам и если у вас устаревшая версия CMS, то узнав версию взломщик может прибегнуть к готовому экслойту.
Обновление CMS поможет во всяком случае избежать старых уязвимостей, который в подробностях написаны на множестве сайтов и к которым разработаны используемые эксплойты. Помимо этого, не нужно устанавливать самописные модули неизвестно от кого полученные или скачанные без предварительного анализа кода (если вы конечно хорошо в этом разбираетесь). Иначе вы рискуете установить зловред своими руками. Множество вирусов таким образом попадало на сайт даже через самые защищенные CMS.
Основная мысль поста - используйте платные движки, либо наиболее популярные бесплатные, регулярно устанавливайте обновления и не ставьте никаких сторонних скриптов.
