Wielu użytkowników naszych narzędzi instaluje dodatki, które mogą znacząco wpłynąć na bezpieczeństwo ich stron internetowych.

Nie zalecamy instalacji jakichkolwiek menedżerów plików m.in. do edytorów WYSIWYG jak tinyMCE czy CKEditor.

Dodatki te posiadają kilka zalet ale niestety posiadają dwie bardzo poważne wady:

1. Menedżery w większości przypadków można uruchomić bezpośrednio przez wywołanie odpowiedniego adresu, który jest łatwy do wykrycia. Niestety mało kto robi weryfikację czy dodatek został wywołany przez panel w administracji czy bezpośrednio. Niezabezpieczony dodatek umożliwia "włamywaczowi" na dodawanie i usuwanie plików a także wykorzystywanie luk w zabezpieczeniach w celu wgrania niepożądanych treści na stronie.
2. Na forach internetowych spotkać można informacje na temat różnego rodzaju luk w bezpieczeństwie np. dla popularnego Ajax File Manager w temacie Remote Code Execution Vulnerability. Błąd ten ma zaledwie pare mesięcy a mało który użytkownik aktualizuje takie dodatki. Nasze narzędzie posiada wbudowany edytor tinyMCE. Wystarczy więc, że włamywacz sprawdzi czy posiadasz zainstalowany dodatkowo menedżer np. Ajax File Manager (co jest proste do sprawdzenia) i wykorzysta luke w celu wgrania niepożądanych treści na Twoją stronę.

Dlatego też nie zalecamy instalacji dodatków, które umożliwiają wgrywanie i usuwanie plików a także wykonywanie jakiegokolwiek kodu PHP. Dodatki, które można obejść i domyślnie nie mają ustawionych zabezpieczeń na tą chwilę to Ajax File Manager, A&R FileManager, CKFinder (ten ostatni instalowany jest na CKEditorze i w naszej opinii jest trudniejszy do wykonania włamu niż 2 poprzednie).

Bezpieczeństwo strony to bardzo szeroki temat i po krótce znajdziesz informacje o tym w dokumentacji.