Info: Säkerhetslucka i Drupal
I dagarna varnade Drupal sina användare om ett stort säkerhetshål i version 7 av deras CMS (Content Management System). Drupal är tillsammans med Wordpress, Joomla m.fl. bland de allra mest populära sätten att bygga hemsidor på.
I just det här fallet var det ett säkerhetshål i kärnan av Drupal, vilket gjorde att ALLA användare av Drupalsystem var i farozonen. Det stora problemet är att även efter man uppdaterat sitt system så finns risken att man redan har blivit attackerad, och det är inte alla användare av Drupal som har konkret kunskap om hur de ser om de blivit attackerade eller inte, eller kunskap om hur man löser problemet. Och med tanke på att alla Drupalsystem bygger på samma kodbas så är det inte speciellt svårt för en hacker att bygga verktyg som automatiskt letar upp icke uppdaterade Drupalinstallationer och automatiskt lägger in sig själva som administratör eller liknande. Vet man vilka säkerhetshål som finns så är det oftast skrämmande lätt att utnyttja dem.
Vi får ibland frågan här på Nossebro Mediaproduktion "Varför jobbar ni inte i Wordpress?" eller liknande. Det finns givetvis flera olika anledningar till detta, men problemet med Drupal vi beskriver ovan belyser en stor del av det som vi anser vara problemet med verktyg som Wordpress, Drupal m.fl...
I och med att till exempel Wordpress ska vara så mycket för så många människor, ska anpassas och byggas ut för att passa alla upptänkliga situationer och behov, så ökar samtidigt risken för att något tillägg, mall eller liknande har något slags säkerhetshål.
En Schweizerost "ska" ha hål i sig
Säkerhetshål är inget nytt fenomen, men med ständigt uppkopplade enheter så ökar riskerna, och det ena hålet kan användas för att sprida exempelvis virusprogram som i sin tur sedan attackerar andra säkerhetshål. Som en enkel jämförelse kan man tänka sig de olika lagren såsom webbläsare, DNS-servrar, javascript samt programkod, databaser och slutligen operativsystemet på servern där hemsidan lagras som skivor av en schweizerost. Man lägger skivorna på varandra, och om det på något ställe finns ett hål rakt igenom alla skivorna, om än litet, där har man ett säkerhetshål.
Problematiken för många av dessa "färdiga" verktyg är just att de måste passa för så många som möjligt för att användarbasen ska öka, vilket i sig ger intäkter för att verktyget ifråga ska kunna fortsätta vara gratis att använda (professionell support är en helt annan fråga). Just detta att verktygen ska kunna byggas ut och anpassas skapar stora risker för att nya säkerhetshål introduceras i mer och mer komplexa system. Det är ibland jämförbart med när Windows XP först släpptes. För att underlätta för sina användare lämnade Microsoft i princip hela operativsystemet öppet för attacker utifrån. Vi har själva erfarenhet av en nyinstallation av Windows XP där systemet attackerades och hackades redan innan vi hade möjlighet att hämta hem uppdateringarna som skulle skydda mot dessa attacker. Detta är ju något som sköts av "robotar" på nätet, som scannar av IP-adresser, hemsidor med mera för kända säkerhetshål. Lyckligtvis har Microsoft såväl som nu aktuella Drupal redan fixat säkerhetshålen, men då kan skadan redan vara gjord.
I många fall kanske det inte är frågan om ett säkerhetsintrång där användaruppgifter stjäls, men det kan vara nog så tråkigt att få sin hemsida förstörd av att det hamnar en massa skräpinlägg i ett forum, eller länkar till tveksamma sajter. Är man dessutom inte noggrann med backuper och liknande så finns det ju givetvis en stor risk att viktig eller användbar information försvinner för all framtid.
Vi har själva erfarenhet av intrång, såväl genom de verktyg som vi jobbar med på serversidan som i de funktioner vi själva utvecklar. För att inte glömma alla de gånger vi av olika anledningar får städa upp en hackad hemsida åt något stackars företag eller förening. I vissa fall kan man få tillbaka allt via backuper, vid andra tillfällen kanske man kan få fram innehållet på sidorna via till exempel Googles cachetjänster. Men ibland går det inte alls. Oavsett vilket så kan man snabbt komma fram till slutsatsen att det kan bli både dyrt rent konkret att fixa iordning saker och ting, men också dyrt om hemsidan är en viktig del av verksamheten.
Att återuppfinna hjulet
Vår filosofi, efter att ha utvärderat verktyg som Wordpress, Joomla och Drupal, är att det i många fall inte är värt "smidigheten" i att låta någon annan göra grovjobbet. Visst finns det tillfällen där en Wordpress-sida fungerar utmärkt, inget snack om saken. Men vi jobbar istället hellre med vårt egenutvecklade CMS-system, ett system som vi själva givetvis kontinuerligt utvecklar. Man skall aldrig vara dum nog att säga att det är hackningssäkert, men vi anser att säkerheten är tillräckligt hög tillsammans med det faktum att källkoden/scripten som kör alltihop på servern inte är allmänt tillgänglig för hackers att beskåda. Ett egenutvecklat CMS har således en betydligt mindre attackyta än verktyg som Wordpress och Drupal.
Visst betyder det att vi ibland får uppfinna hjulet igen, men när vi gör det så försöker vi uppfinna ett hjul som passar till just er verksamhet - inte ett generellt hjul som ska passa allt och alla i hela världen.
Samma saker gäller även den grafiska designen och upplägget på er hemsida. Använder man sig av dessa färdiga verktyg så får man antingen förlita sig på de färdiga mallar som finns tillgängliga, vilket gör er hemsida långt ifrån "unik". Eller så kan man utveckla egna mallar, men då är det nästan lika mycket jobb som att göra en hemsidesdesign från scratch. Dessutom får man då räkna med att man måste spela inom det valda verktygets regler, eller ändå behöva göra specialanpassningar.
Till denna ekvation skall man även lägga till uppdateringar på verktygen. Vad händer NÄR det kommer en ny version eller revision av till exempel Wordpress? Den fina egenutvecklade mallen, kommer den att fungera? Tillägg från tredje part, vad händer där - utvecklas de ens längre? I de flesta fall erbjuder verktyg som Drupal och Wordpress relativt enkel migrering av data från en version till en annan, men sitter man då med en specialanpassad mall som efter uppdatering inte längre visar dessa data, eller om man förlitat sig på ett tillägg vars upphovsman inte längre släpper uppdateringar, hur gör man då? Stannar man kvar på en version som kanske innehåller stora eller små säkerhetshål och som inte längre uppdateras, eller uppdaterar man och hoppas att allting ska fungera? Väljer man verktyg som dessa är det den verkligheten man bör ta ställning till redan innan man väljer verktyg.
Ska man undvika verktyg som till exempel Wordpress eller inte?
Som med så många andra saker så är det inte en fråga med ett enda svar. Det finns otroligt mycket som inverkar på ens val av verktyg. Kommer en eller flera användare att använda administrationsverktyget, och behöver de isåfall egna inloggningskonton? Behöver användarna av hemsidan inloggning? Vill den som ska administrera hemsidan ha stora möjligheter till egen anpassning utan vår inblandning? Har de kanske redan erfarenhet av etablerade verktyg? Och kanske en av de viktigaste frågorna; Vad får det kosta?
Som du förstår så är det många faktorer som påverkar ens val. Många hemsidor behöver kanske inte ens ha mer än ett väldigt rudimentärt verktyg, då innehållet på sidorna är mer eller mindre helt statiskt. Vi har enklare verktyg för detta där vi designar sidan och hur innehållet presenteras, men administratören kan gå in och enkelt ändra exempelvis ren text. För andra så är kraven större, där vårt mer utvecklade CMS-verktyg kan vara ett bra val. Utöver det så gör vi mycket specialanpassningar utvecklade för just dig som kund.
I de flesta fall rekommenderar vi att stämma ett möte där vi tillsammans kan sitta ner och utvärdera era behov och för- och nackdelarna med de olika alternativ som vi kan erbjuda. Är ni intresserade av att veta mer är ni varmt välkomna att kontakta oss!