Что насчет собственной CMS?
Довольно много web-программистов пытаются писать собственные CMS. По самым разным и множественным причинам. Некоторые считают, что написание своей системы управления контентом займет меньше времени, чем изучение чужой. Некоторые думают, что в собственной системе будет меньше дыр, чем в чужой, — постоянно проскакивает информация о новых уязвимостях в той или иной CMS. Чуть ли не каждую неделю появляются сообщения о дырах в nuke-системах управления контентом, другие системы тоже не отстают. Довольно громкое дело — взлом spreadfirefox.com, работающего на движке Drupal: админы просто не поставили новую версию.
Так стоит ли использовать CMS? Дело в том, что в популярной системе управления контентом дыры обнаруживаются потому, что не одна сотня сайтов пользуется ей и соответствующие проекты просматриваются сотнями глаз. А кто будет искать дыру на домашней страничке Васи Пупкина с посещаемостью один человек (его же мама) в месяц?
Чтобы не быть голословным, приведу конкретный пример. Недавно в контору, где я работаю, принесли сайт для сдачи. Мы тестировали его на безопасность. Буквально через десять минут мне удалось зайти в админку этого сайта, так как автор системы управления контентом оставил гигантскую дыру: почему-то при вводе пустого мыла при подписке на новости пользователя переносило в админ-интерфейс, где предоставлялся простор управлять всем сайтом.
Надеюсь, я убедил тебя, что пользоваться готовой CMS, проверенной временем, безопаснее, чем писать собственную.
Автор: Борис Вольфсон