amarao (amarao_san) wrote,
amarao
amarao_san

как правильно отбрёхиваться (админское)

Разбираю старую почту. Совсем старую. Нашёл письмо, решил сохранить для потомков.

В одной мелкой конторе был "дизайнер", который занимался созданием сайтов (ну вы поняли). Я там держал в том числе мелкий линуксовый сервер, на котором изначально было только одно приложение и статика, потом дизайнеру потребовался вордпресс и понеслось. Моей работы в этой конторе было - несколько часов в месяц на всё про всё.

В какой-то момент через (как выяснилось) поставленный дизайнером модуль магазина влетела малварь через qwerty на админке, точнее, что малварь влетела через админку, а что там qwerty я узнал чуть позже.

Ключевое тут не "какой я весь из себя белый" (я в курсе как оно должно быть по совести), а в том, как отбрёхиваться в процессе выяснения виновных в проблеме, которую никто толком и не понимает.

(Предыстория переписки: дизайнер сказала что она не ожидала, что админка смотрит попой наружу и предположила, что закрывать доступ к админкам с паролем qwerty должен админ).

Люди самостоятельно устанавливают на веб-сервер приложения,
через полтора года удивлённо узнают, что его ещё и обновлять надо, а я
при этом должен волшебным образом узнавать про то, какие места каким
сайтам я должен закрывать?

Каким чудом я должен догадаться, что POST /shop - это клиент отправляет
заказ, а POST /shop?i=a - это администратор сайта логинится?

Общая проблема выглядит следующим образом: сопровождение сайтов -
довольно сложная и отвественная задача, если её поручают веб-дизайнеру,
художнику-оформителю или другому человеку, который про .htaccess ни разу
не слышал, а умеет только рисовать, то конфигурация живёт до первого чиха.

Я в своё время предлагал использовать системный вордпресс, который
обновляется вместе с обновлениями безопасности ОС, но его зарезали,
потому что эта конфигурация не позволяет грузить на сайт всякие клёвые
плагины с клёвыми уязвимостями.

Современный веб-сайт - это приложение, ничуть не менее сложное, чем
любое дескнопное, но при этом выставленное голой задницей в публичный
доступ.

Если нужно, чтобы я поменял конфигурацию веб-сервера так, чтобы какие-то
пути или каталоги были доступны только с внутренних адресов, я готов это
сделать. Но мне нужна информация где и что закрывать, потому что бегать
за дизайнером и затыкать уязвимости в дырявых вордпрессовых плагинах,
которые загружают через веб-интерфейс я не хочу.
Tags: администрирование
Subscribe

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 5 comments