Instalacja CMS-ów jak WordPress Czy Joomla! jest stosunkowo prosta, jednak powstało kilka popularnych autoinstalatorów, które pozwalają jeszcze bardziej uprościć ten proces. Autoinstalatory są zwykle komercyjnymi rozwiązaniami przygotowanymi dla popularnych systemów hostingowych: cPanel i DirectAdmin. Jednak gdy pozwalamy pośredniczyć jakiemuś oprogramowaniu w instalacji nasuwa się pytanie – czy na pewno jest to bezpieczne?
Autoinstalatory, bezpieczeństwo: aktualność wersji oprogramowania
Pierwszą rzeczą, która może niepokoić jest aktualność systemu za pomocą instalatora. Systemy zarządzania treścią całkiem często dostają aktualizacje, co może powodować, że autoinstalator nie będzie miał w danym momencie najnowszego skryptu. Jak jest w przypadku popularnego Softaculousa? Sprawdźmy to przykładzie trzech popularnych systemów: WordPress, Joomla i Drupal. Na dzień 5 sierpnia 2018, najnowszymi wersjami tych systemów są kolejno wersje 4.9.8, 3.8.11, 8.5.6. Po przejściu do Softaculousa i wybraniu odpowiedniej aplikacji zaraz pod jej nazwą będziemy mogli sprawdzić, czy jest ona dostępna w najnowszej wersji.
Na powyższym zrzucie ekranu widać, że tak właśnie jest – wersja jest aktualna. Sytuacja jest analogiczna dla dwóch pozostałych systemów – wszystkie wersje aplikacji w autoinstalatorze są aktualne.
Autoinstalatory, bezpieczeństwo – proces instalacji
Dobrze, wersja jest aktualna, a co z samym procesem instalacji?
Proces instalacji jest szybki i prosty – w końcu takie jest zadanie autoinstalatorów – ale dodatkowo automatycznie dodaje kilka warstw bezpieczeństwa. Po pierwsze autoinstalator podczas instalowania aplikacji generuje mocne hasło do zaplecza strony oraz generuje mocne hasło do bazy danych, którą zakłada podczas procesu instalacji. Zaletą jest też możliwość późniejszego logowania się z panelu zarządzania skryptami (panelu Softaculous w cPanelu) do panelu systemu zarządzania treścią. Jest to zarówno wygodne jak i bezpieczne – nie trzeba pamiętać, ani przechowywać nigdzie hasła co ogranicza możliwość jego wycieku (gdyby ktoś niepowołany uzyskał dostęp do cPanela, to hasło do zaplecza WordPressa będzie najmniejszym problemem…), a dodatkowo utworzenie hasła za użytkownika gwarantuje, że będzie ono miało odpowiednią siłę.
Kolejnym plusem, jest fakt, że prefixy tabel w bazie danych zawierają losowy ciąg znaków. Utrudnia to wykonanie ataku typu SQL injection w przypadku odkrycia luki
Czy bezpiecznie jest używanie autoinstalatorów ?
Na pewno autoinstalatory są wygodne. Raczej są bezpieczne. Mają też wiele innych zalet – jak np. możliwość szybkiego klonowania instalacji np. WordPressa – gdy chcemy zrobić jakieś prace i nie wiemy jak zachowa się nasza strona – można kilkoma kliknięciami sklonować instalację (wraz ze wszystkimi wtyczkami) i dokonywać zmiany na kopii systemu produkcyjnego. Przeczytaj nasz wpis dotyczący wygodnego klonowania aplikacji.
Podsumowując: Autoinstalatorów jako zjawiska i trend nie można ignorować – one istnieją od wielu lat. Ostatnio są już (przynajmniej te najbardziej znane, komercyjne, jak Softaculous, czy Instalatron) dopracowane i czasem mogą powodować większy stopień bezpieczeństwa (np. w postaci mocnych haseł). Klienci lubią z nich korzystać. Praktyka pokazuje, że czasem kilka razy w tygodniu pojawiają się pytania „czy macie autoinstalator WordPressa/Joomli?”.
Na co należy zwrócić uwagę dla bezpieczeństwa autoinstalatorów ?
Warto zapytać firmy hostingowej z której usług korzystacie, jakie są zasady aktualizacji oprogramowania w autoinstalatorze. W szczególności warto przeczytać artykuł jednego z ewangelistów WordPressa w Polsce Arkadiusza Stęplowskiego, dotyczącego możliwych problemów z niektórymi autoinstalatorami.
- Smarthost to dobre miejsce dla blogów turystycznych - 27 stycznia, 2021
- Warto dbać o używanie aktualnej wersji PHP. Jak należy ją poprawnie zmienić? - 8 stycznia, 2021
- Podatność wtyczki Contact-form-7 - 18 grudnia, 2020