Безопасная CMS

[Maxi]

Приветствую уважаемые.

Кто что может сказать по поводу безопасности популярных CMS?

Что для вас предпочтительней?

Битрикс - не работал не знаю, но подозреваю что безопасность высокая т.к движок платный плюс есть поддержка, и код у него закрытый.

Joomla - работал,дырявая, надоело каждый раз обновлять и пилить все вылезающие баги.

WP - не работал, вроде тоже дырявый и ситуация как с joomla

Друпал - не работал, интересно было бы узнать про него.

Может от себя что добавите или посоветуете?

Понимаю что при желание взломать можно что угодно.

[wildhind]

из всех перечисленных cms имею существенный опыт только с битриксом, поэтому могу рассказать только про него.

Из коробки в принципе действительно всё хорошо с безопасностью. Хотя код на самом деле не такой уж и закрытый, только отдельные части ядра обфусцированы.

С проблемами безопасности сталкиваюсь регулярно, и вот основные из них:

— вирусы. Предполагаю, что проблема не специфична для битрикса, а характерна скорее для пользователей ОС Windows. Вредоносные программы воруют пароли фтп, после чего дописывают в конец /index.php код вызова злостного js с принадлежащего мошенникам сервера. Часто после такого сайт попадает в чёрный список гугла и в поисковой выдаче помечается как потенциально опасный;

— дешёвые фрилансеры. Это настоящая катастрофа, вытекающая как раз из того, что битрикс — система коммерческая. Политика партии такова, что порог вхождения для разработчиков на битриксе минимален. То есть, на каком-нибудь RoR вы не сможете написать ничего, пока не посвятите несколько недель обучению, пока не прочитаете официальную документацию и множество умных статей. На битриксе же можно говнокодить сколько угодно и как угодно. Пионерские примеры sql-инъекций, когда напрямую в БД попадают данные из get-запроса, вполне можно организовать, никто этого не запрещает. В любом месте может выполняться чистый php, использование API отнюдь не обязательно. И в реальности мне такие решения встречались не раз.

Навскидку не вспоминается других столь же распространённых проблем, но есть ещё ряд менее распространённых.

Однако есть и возможность создания по-настоящему безопасного сайта, с проактивной защитой, отп-авторизацией и прочими вкусностями. Только для этого необходимое условие: толковый специалист.

[ShumNo]

Если cms популярна, то и с безопасностью все нормально, если за этой самой безопасностью следить. Так же можно посмотреть как часто у каждой системы выходят фиксы безопаности и насколько они критичны. Вот у джумлы, насколько при беглом осмотре я увидел, выходят часто

[hedgehog]

— дешёвые фрилансеры. Это настоящая катастрофа, вытекающая как раз из того, что битрикс — система коммерческая. Политика партии такова, что порог вхождения для разработчиков на битриксе минимален. То есть, на каком-нибудь RoR вы не сможете написать ничего, пока не посвятите несколько недель обучению, пока не прочитаете официальную документацию и множество умных статей. На битриксе же можно говнокодить сколько угодно и как угодно. Пионерские примеры sql-инъекций, когда напрямую в БД попадают данные из get-запроса, вполне можно организовать, никто этого не запрещает. В любом месте может выполняться чистый php, использование API отнюдь не обязательно. И в реальности мне такие решения встречались не раз.

То же можно сказать и о WP

[wildhind]

То же можно сказать и о WP

да что-то боюсь, что подобное можно сказать о многом.

Вероятно, этой проблемы нет только в фреймворках, требующих достаточно высокого порога вхождения. Хотя бы джанго.