Czym jest CMS (Content Management System)

Tematem niniejszego artykułu są najważniejsze zalety i wady darmowego systemu zarządzania treści opartego o „open source” oraz systemu autorskiego. Mam nadzieję, że po lekturze tego opracowania, będziesz w stanie podjąć decyzję, który CMS będzie dla Ciebie najlepszym wyborem.

System zarządzania treścią, tzw. CMS (z ang. Content Management System) służy, jak sama nazwa wskazuje, do zarządzania treścią umieszczoną na stronach internetowych. Oczywiście służy także do zarządzania wszelką maścią informacji, jakie chcesz zamieścić na swojej stronie internetowej. Jest to jedna z najbardziej popularnych technologii w swojej kategorii i występuje niejako w dwóch odmianach: darmowej oraz płatnej.

    Rozwiązanie darmowe typu „open source”

    Już od dawna w społeczeństwie utarło się stwierdzenie, że jak coś jest darmowe to na pewno jest do niczego, albo przynajmniej „coś jest z nim nie tak”. Oczywiście trudno z nim dyskutować, jednak istnieje niewielki procent systemów CMS, których funkcjonalność stoi na bardzo wysokim poziomie. Jednym z takich rozwiązań jest „WordPress” - jeden z najpopularniejszych, o ile nie najpopularniejszy CMS, dostępny na rynku bez konieczności zakupu licencji. Jego zaletą i jednocześnie wadą jest dostęp do jego kodu źródłowego, wszystkim zainteresowanym. Taka swoboda przekłada się na dynamiczny rozwój i powstawanie wielu narzędzi, wtyczek i tym podobnych dodatków do systemu, jednak nie służy bezpieczeństwu (temat będzie szerzej opisany w dalszej części artykułu).

    Możliwości CMS tego typu są bardzo duże ze względu na system modułów, które mogą być do niego zaimplementowane. O ile sama ilość możliwości jest jak najbardziej pozytywna, to sama jakość wtyczek już jest kwestią dyskusyjną (są już ich dziesiątki tysięcy). Każdy wspomniany moduł, odpowiada za konkretną funkcjonalność systemu, co w połączeniu z otwartym kodem przekłada się na niemal niczym nieskrępowaną możliwość ich konfiguracji pod potrzeby użytkownika.

    Biorąc natomiast pod uwagę okoliczności, w jakich powstają wspomniane moduły (inaczej wtyczki) - można mieć pewne obawy, co do ich spójności i bezpieczeństwa dla systemu. Tworzone są przecież przez programistów z różnych krajów na całym świecie bądź ich grupy! Oczywiście pomijając kwestię specjalnego ich preparowania, celem dalszego wykorzystania znanych w oprogramowaniu luk przez ich twórców - niewielkie doświadczenie może przełożyć się na właśnie powstanie takich luk w kodzie. Wielu zwolenników systemów ”open source” wskazuje jako olbrzymią zaletę ilość „skórek”, czyli wizualizacji panelu administratora mających wpływ na jego czytelność i paradoksalnie intuicyjność (część z nich zmienia, poza samym wyglądem, także układ przycisków funkcyjnych).

    Innymi słowy, trudno zaprzeczyć, że możliwości tych systemów są naprawdę szerokie, jednak czy będziesz w stanie je wykorzystać, albo inaczej - czy spośród tego całego mrowia modułów, znajdziesz to czego potrzebujesz?

      Autorski system CMS

      Tego typu systemy są pisane pod konkretnego klienta i jego potrzeby, co w oczywisty sposób przekłada się na ich zaspokojenie i to na każdej płaszczyźnie. Jeżeli sam system już funkcjonuje, ale nie posiada potrzebnej funkcjonalności - zespół programistów bez większego problemu takowy moduł stworzy. Oczywiście w tym przypadku także może mieć miejsce „modułowość” rozwiązań, jednak ich znana jakość zdecydowanie góruje nad większością rozwiązań systemów darmowych. Jest to właśnie główna różnica pomiędzy rozwiązaniem autorski, a „open source”. Rozwój autorskiego CMS-a następuje wraz z potrzebami Klienta i to, co należy podkreślić, że żaden nowy „element kodu” nie powoduje naruszenia stabilności całego systemu (jest pod tym kątem wcześniej testowany, zanim trafi do klienta).

      Często pomijaną kwestią jest zgodność autorskich rozwiązań z wieloma przeglądarkami - co może być problematyczne w niektórych przypadkach. Innymi słowy, zlecając napisanie, bądź wybór autorskiego CMS'a jest w stanie dostarczyć Ci tych wszystkich funkcjonalności, jakie potrzebujesz, bez konieczności mozolnego wyszukiwania i przeglądania odpowiednich modułów w sieci. Niestety za komfort przyjdzie Ci zapłacić, bowiem autorskie rozwiązania są droższym rozwiązaniem niż „gotowe moduły”.

        Ogólny zarys kosztów wdrożenia i licencji

        WordPress

        Licencja sama w sobie jest darmowa, a system bez problemu można pobrać z internetu. Jednak samo pobranie programu nie oznacza możliwości natychmiastowego jego użycia i postawienia na nim swojego portalu. Jeżeli jesteś programistą, bądź posiadasz po prostu odpowiednią wiedzę z zakresu programowania i będziesz sobie w stanie poradzić samemu - znakomicie! Właściwie nie poniesiesz żadnych kosztów dodatkowych, poza samym serwerem itd. Jednak, jeżeli będziesz musiał sięgnąć po pomoc specjalisty - to już zmienia postać rzeczy. Wynagrodzenie specjalisty związane ze wdrożeniem systemu WordPress może być diametralnie różne w zależności od zakresu prac i oczekiwań Klienta. Przy czym sama konfiguracja i niejako podstawowe wdrożenie systemu może oscylować między 200 a 400 złotych (przy czym bardzo wątpliwe jest to, aby na tym się Twoje potrzeby skończyły).

        Autorski CMS (Netgraf)

        Bywają stosowane różne typy licencji, tj. jednorazowe bez konieczności ich przedłużania oraz odnawialne, które generują regularnie dodatkowe koszta. W przypadku systemu oferowanego przez naszą firmę opłata ta jest wliczona w koszt usługi, jaką jest prowadzenie strony internetowej. Generalnie niczym innym nie musisz się przejmować. Podobnie sprawa wygląda w kwestii wdrożenia systemu u Klienta. Dodatkowe koszta mogą wynikać z dodatkowych prac nad modyfikacjami, jakie zgłosi Klient.

          WordPress jako przykład najpopularniejszego CMS typu „open source”

          Przeglądając oferty najpopularniejszych dostawców systemów do zarządzania treścią rzuca się w oczy wiele darmowych rozwiązań, które są wybierane właśnie z tego powodu. Niestety są one pełne luk w zabezpieczeniach i poza ewentualnie dopracowaną szatą graficzną, niewiele więcej oferują. Potencjalne problemy, jakich mogą być powodem sprawiają, że nie warto nawet brać ich pod uwagę, jeżeli poszukujesz solidnej platformy dla swojej witryny.

          Istnieje wiele systemów (bardziej lub mniej profesjonalnych) stworzonych z myślą o zarządzaniu treścią, zamieszczaną na portalach internetowych. Teoretycznie każdy znajdzie coś dla siebie, bowiem istnieje szereg darmowych narzędzi, których funkcjonalność zdaje się nie odbiegać od płatnych wersji. Oczywiście, sam zestaw najpotrzebniejszych wtyczek i możliwość integracji najczęściej nie stanowi problemu. Jednak „nie wszystko złoto - co się świeci”. Widać to wyraźnie na przykładzie niesamowicie popularnego i „sprawdzonego przez miliony” użytkowników platformie WordPress. Nie wszystko stoi na tak wysokim poziomie jakby można było tego oczekiwać. Problemem okazuje się poruszana wyżej kwestia bezpieczeństwa, a konkretnie ilości luk w samym kodzie programu, umożliwiających relatywnie proste włamanie się do każdego konta na tym systemie i wykorzystanie go do swoich celów.

            Najczęstsze cele ataków

            Pojawił się problem infekowania platform internetowych korzystających z WordPress'a przez kryptoznaki - co przekłada się na wykorzystywanie zainfekowanych komputerów do „kopania” kryptowaluty. Sam poszkodowany nie ma z tego kompletnie nic (poza wyższymi rachunkami za prąd oraz zużywaniem się sprzętu).

            Oczywiście nie jest to jedyny powód ataków hakerskich na portale oparte o tę platformę. Często podczas włamania na serwery system infekowany jest przez różnej maści złośliwe „mini programy” typu trojany oraz keyloggery (do przechwytywania danych do logowania - niekoniecznie tylko do WordPress'a). Czasem chodzi po prostu o chęć zdobycia bazy maili, na które rozsyłany jest następnie uporczywy spam. Najgorszym z tego wszystkiego jest moment gdy celem są dane wrażliwe, których przechwycenie przez osoby niepożądane, może nie tylko zszargać reputację danej marki, ale w skrajnym wypadku doprowadzić do jej zniszczenia.

              Standardowy przebieg ataku - WordPress

              Najprostszym sposobem na zdobycie potrzebnych danych do logowania jest zainfekowanie komputera prostym programem zapisującym wpisywane w formularzu logowania frazy (tzw. keyloggerem). Paradoksalnie wpisywane hasło, jak i login wysyłane są do hakera, zanim jeszcze pomyślisz o kliknięciu „zaloguj”. Przechwycenie danych do logowania sprawia, że nie będzie musiał wykorzystywać luki w kodzie by włamać się do niego w przyszłości (i to niezależnie w jakim miejscu na świecie się znajduje). Problem mógłby być rozwiązany (przynajmniej w dużym stopniu), gdyby podczas logowania wykorzystano system dwuetapowego uwierzytelniania. Ilość zainfekowanych portali szacuje się aktualnie na około 2 tysiące, przy czym samych ataków zanotowano ponad 5 tysięcy i to w zeszłym miesiącu. Jest to coraz większy problem, z którym należy się liczyć.

                „Jak się bronić przed włamaniem?”

                1. Ciągła aktualizacja wykorzystywanych wtyczek i monitorowanie strony

                Jeżeli korzystasz z samo hostowanej wersji WordPress'a, musisz pamiętać by Twój CMS był na bieżąco aktualizowany, podobnie jak wszystkie wtyczki, z jakich korzystasz. Niestety, nie uciekniesz także od konieczności ciągłego monitorowania zabezpieczeń wybranego przez siebie hostingu (samo zapewnienie firmy świadczącej nam tę usługę o najwyższym poziomie zabezpieczeń nie wystarczy). Samo hostowany WordPress jest niezwykle wygodny, jednak mnogość wtyczek, jakie oferuje przekłada się na tysiące potencjalnych luk w ich zabezpieczeniu (aż 70% ataków na witryny internetowe oparte jest właśnie o nieodpowiednie zabezpieczenie wtyczek (jest ich przeszło 43 tysiące) oraz tzw. brute force - jak informują specjaliści z Wordfence).

                2. Weryfikacja statusu zainstalowanych wtyczek

                Sama aktualizacja wykorzystywanego oprogramowania nie wystarczy, bowiem należy jeszcze zwrócić uwagę na to, czy wykorzystywane przez nas wtyczki są na bieżąco rozwijane przez ich autorów, a tym samym likwidowane luki w ich zabezpieczeniach. Jak zatem podejść do tej kwestii - przecież nie mamy kontaktu z programistami odpowiedzialnymi za dany projekt. Przyjmij zasadę: jeżeli wtyczka nie była aktualizowana przez pół roku - nie instaluj jej. Natomiast te, z których już korzystasz, sprawdzaj przynajmniej kilka razy w roku pod kątem ewentualnego „porzucenia przez autorów”.

                3. Nigdy nie instaluj oprogramowania z nieznanych źródeł, może bowiem ono już na starcie posiadać „furtkę” dla hakera.

                4. Tworząc konto w WordPress sięgnij po możliwe najmniej oczywiste nazwy użytkownika (typu admin administrator, czy nazwa wykorzystanej domeny).

                WordPress jest jedną z platform typu „open source”, co oznacza swobodny dostęp do jej kodu przez setki programistów na całym świecie, w tym także web developerów i wszelkiej maści freelancerów, tworzących kolejne wtyczki. Takie rozwiązanie, co prawda przekłada się na szybki rozwój i dopracowanie praktycznych aspektów oprogramowania, jednak generuje ono także szereg problemów. Jak widzisz każdy niejako ma dostęp do „rdzenia systemu”, co pozwala na dogłębne poznanie i wykrycie luk, które mogą być następnie wykorzystane do ataku. Innymi słowy, dostęp do niego mają także zainteresowani hakerzy. Jest to olbrzymi problem tego typu rozwiązań, bowiem gdyby był to system zamknięty i jednolity w swojej strukturze z pewnością byłby znacznie bezpieczniejszy. Ilość narzędzi może także wydawać się na pierwszy rzut oka atrakcyjny, jednak jest to źródło wielu luk w zabezpieczeniach, nad którymi nie zapanujesz.

                  Najczęstsze cele ataków

                  Kwestia bezpieczeństwa autorskich systemów to jest to, co tak bardzo wyróżnia je na tle darmowych odpowiedników. Bowiem o ile u poprzednika wszelkie moduły mogą być tworzone przez przypadkowych programistów (o różnym stopniu doświadczenia i umiejętności), to w przypadku płatnych systemów - powstają one, na jasno określonych zasadach. Jedynie programiści związani z firmą posiadają dostęp do kodu źródłowego i niejako znają go na wylot. Oznacza to także objęcie go tajemnicą przedsiębiorstwa i konieczność podpisania przez pracowników mających z nim styczność, odpowiedniej klauzuli tajności (przypadku wyjawienia przez nich danych poufnych odpowiadają oni osobiście swoim majątkiem i nie tylko). Oczywiście tworzone przez firmę moduły są spójne z kodem źródłowym i nie powodują żadnych problemów ze stabilnością całego systemu, a tym bardziej są wielokrotnie testowane i sprawdzane pod kątem ewentualnych luk, celem ich usunięcia.

                  Wiele zależy od programistów zatrudnianych przez daną firmę i ich umiejętności, bowiem istnieje zawsze ryzyko, że autorski CMS będzie miał więcej luk bezpieczeństwa niż darmowy „WordPress”. Należy zwrócić uwagę na sytuację kiedy to hakerzy po znalezieniu luki w oprogramowaniu umożliwiającego nieautoryzowane wejście do systemu (dajmy na to w wersji 2.2) tworzą automatycznego bota skanującego sieć w poszukiwaniu stron opartych właśnie o tą wersję by od razu przystąpić do próby włamania się.

                    Wsparcie techniczne

                    CMS open source

                    Jedynym ratunkiem pozostają różnego rodzaju fora internetowe, na których można pozyskać bardziej lub mniej konkretną pomoc w rozwiązaniu danego problemu. Możesz poszukać w sieci aktualizacji do swojego oprogramowania, które być może niwelują dany problem. Oczywiście jeśli zatrudnisz webmastera, specjalizującego się w wykorzystywanym przez Twoją firmę systemie „open source” - możesz do niego zadzwonić i zlecić mu naprawę jakiegoś problemu (za co oczywiście przyjdzie Ci zapłacić), który pojawił się w danym momencie. W innym przypadku jesteś zdany na siebie. Rozwiązaniem doraźnym (nie sprawdzającym się na dłuższą metę) jest zlecanie prac „na godziny” zaprzyjaźnionemu programiście.

                    CMS autorski

                    Komercyjne systemy CMS są co prawda płatne (licencja), jednak w ramach licencji otrzymujesz gwarancję stabilnego działania systemu oraz pomoc techniczną (zarówno mailową, jak i telefoniczną w przypadku naszego CMS-u). W ramach wspomnianej gwarancji dostawca ma za zadane nieodpłatnie usunąć usterki i przywrócić pełną funkcjonalność danego CMS-a w okresie gwarancyjnym (w przypadku wystąpienia problemu po jego zakończeniu możesz liczyć na naszą pomoc).

                      CMS autorski - jaki wybrać?

                      Jednym z lepszych przykładów dopracowanego CMS-a jest ten oferowany przez naszą firmę - przemyślany, praktyczny, wygodny i co najważniejsze stabilny system, na którym postawisz dowolny portal. Zamknięta struktura oznacza brak dostępu do kodu platformy z wyjątkiem dedykowanych programistów, którzy także na mocy klauzuli poufności, nie mogą go w żaden sposób udostępnić osobie trzeciej. Każdy Klient otrzyma kompletny zestaw narzędzi, które potrzebuje do sprawnego zarządzania swoją witryną. Wartością dodaną dla klienta jest niewielki koszt licencji, sprawne wdrożenie oraz ciągła pomoc techniczna. Jeżeli poszukujesz systemu, za pomocą którego będziesz zarabiał i nie lubisz półśrodków, zdecydowanie wybierz profesjonalny produkt, jakim jest nasz CMS. Polecam! 

                        Krótkie podsumowanie: CMS „open source” vs CMS autorski


                        CMS typu „open source”

                        Autorska platforma (Netgraf)

                        Koszty licencji

                        Brak.

                        W cenie licencji.

                        Możliwości systemu

                        Istnieją narzędzia, które spełnią poukładane w nich nadzieje (system modułów). Panel administracyjny może przysporzyć o zawrót głowy. Użytkownik musi się dostosować.

                        Klient otrzymuje wszystko to, czego potrzebuje w przystępnej formie i o wymaganym stopniu zaawansowania. Bardzo przejrzysty panel zarządzający (po krótkim zapoznaniu się wręcz intuicyjny). System zostanie dostosowany do użytkownika.

                        Stopień dopracowania

                        Pozornie na wysokim poziomie, jednak zdecydowana duża część funkcjonalności jest niedopracowana.

                        Wysoki poziom - każdy klient może liczyć na indywidualne podejście do jego potrzeb.

                        Pomoc techniczna

                        Brak (poza forami internetowymi).

                        Stały dostęp do pomocy technicznej (telefoniczny oraz mailowy).

                        Bezpieczeństwo

                        Wiele luk w oprogramowaniu, które mogą być powodem przyszłych problemów witryny.

                        Jednolity kod (chroniony tajemnicą), dzięki czemu nikt spoza firmy nie ma do niego dostępu. Dopracowany i wolny od luk w zabezpieczeniach.


                          Netgraf
                          Opcjonalnie
                          Zamknij
                          Opcjonalnie