Movable Type figure-t-il parmi les blogs les plus sécurisés PHP? Quel est le niveau de sécurité des diverses applications de blog PHP?
Fondamentalement, j'essaie de trouver un blog pour un site Web, et la sécurité est la plus haute priorité dans notre cas. Nous n'avons besoin d'aucune fonctionnalité que j'imagine spéciale. Wordpress était notre première idée, mais sa réputation la précède et, même s'il a peut-être mis de l'ordre dans ses affaires récemment, je ne vois pas beaucoup de preuves solides.
J'ai l'impression que Movable Type (du moins la version Perl) a une bien meilleure réputation en matière de sécurité que Wordpress (historiquement du moins). Je ne suis pas sûr de vouloir tenter ma chance avec Wordpress à ce stade-ci, mais y a-t-il une source objective que je puisse avoir pour sauvegarder (ou contrer) la notion que MT est au moins parmi les meilleurs? Secunia ne recommande pas d'utiliser leurs statistiques pour les comparaisons, et securityfocus.com n'a aucune statistique à ce que je puisse voir. Chercher ici http://web.nvd.nist.gov donne à MT un rendu bien meilleur que WP (au moins en 2007), mais ce site a été référencé par la propre page de MT se vantant de sa sécurité, je ne sais donc pas à quel point elle est pertinente ni à quel point les gens la prennent au sérieux.
Des suggestions sur des sites où je pourrais/devrais faire une comparaison assez objective?
Movable Type fait-il partie des plates-formes de blogging les plus sécurisées? j'en doute .
La base de données nationale sur les vulnérabilités du NIST montre le nombre de vulnérabilités suivantes pour WP par rapport à MT entre 2009 et 2012:
year MT WP
2009 10 3
2010 5 0
2011 2 1
2012 1 0
Cependant, pour être juste, Secunia présente une image très différente:
year MT WP
2010 3+ 3
2011 3++ 5++
2012 0 1
( Chaque signe plus (+) représente une vulnérabilité moyennement critique. Toutes les autres sont classées comme "non critiques" ou "minimalement critiques". )
Maintenant, j’ai inclus les données de 2009 de NVD parce que vous avez mentionné l’état de la situation en 2007. Mais tout ce qui est antérieur à 2010 n’est pas pertinent, car la version principale actuelle de chaque CMS a été publiée. En 2007, les utilisateurs utilisaient toujours WordPress 2.2/2.3, il y a environ 9 à 10 versions. Et WP3 est aussi un bien meilleur CMS que WP2.
Les données que j'ai pu trouver me disent que actuellement , Movable Type n'est que légèrement plus sûr que WordPress, voire pas du tout. NVD décrit WP comme beaucoup plus sécurisé, alors que Secunia raconte une histoire bien différente, avec WordPress ayant 33% de vulnérabilités supplémentaires signalées (bien que WordPress n'en ait que 2 modérément vulnérabilités critiques pour 3) et 1 vulnérabilité non critique non corrigée de Movable Type pour 0 vulnérabilités non corrigées de Movable Type.
Ceci dit, WordPress est beaucoup plus populaire que Movable Type. De ce fait, il y a beaucoup plus de pirates informatiques et de gamins de scripts ciblant WordPress sites que Movable Type. Et même s’il s’agit d’une forme de sécurité par l’obscurité , elle a un effet pratique dans la vie réelle.
Bien sûr, il y a aussi plus de pirates informatiques et de développeurs qui scrutent le code de WP et essaient de rechercher et de corriger les vulnérabilités avant que les blackhats puissent avoir une chance de les exploiter, donc si vous maintenez votre logiciel à jour , il ne devrait pas y avoir de différence notable entre WP et MT.
Une autre option, en particulier pour les moins férus de technique (ou les techniciens qui préfèrent garder les mains libres pour d’autres tâches), consiste à choisir une solution hébergée SaaS. Squarespace, Wordpress.com, Blogger et les fournisseurs de CMS hébergés similaires vous éviteront non seulement de vous soucier de la correction de votre logiciel, mais au moins ceux qui sont payants ont passé des accords SLA qui garantissent que, même si quelque chose devait arriver, vous seriez pris en charge. De plus, l'élément sécurité par obscurité est beaucoup plus important avec des services tels que Squarespace par rapport à Movable Type.
Ayant travaillé avec WordPress beaucoup ces derniers temps, ce que je fais pour créer une sécurité est d'éviter les valeurs par défaut. Lors de la création de la base de données, je modifie les préfixes de nom de table en un nom personnalisé pour ce site. Je crée un utilisateur unique et les fais administrateur puis supprime l'utilisateur admin. Il existe également des plugins basés sur la sécurité qui rendent disponibles d’autres réglages.
Wordpress propose également d'autres suggestions. WP Security Scan est un plug-in utile pour ajuster les autorisations et faire d'autres ajustements pour la sécurité. Garder le courant est également important. De plus, si vous utilisez un thème gratuit, procurez-vous-le dans le répertoire de wordpress.org. De nombreux sites Web proposant des thèmes incluent des backlinks cryptés qui créent des failles de sécurité. Voir this post pour plus de détails sur cette question.
En bout de ligne, tout service en ligne va être exposé à des vulnérabilités de sécurité. D'après mon expérience, wordpress est aussi efficace que tout autre (et dépasse même le plus grand nombre) en termes de sécurité et de publication immédiate de correctifs de sécurité.
Sur techcrunch Je viens de trouver l'histoire d'un gars qui a été piraté, puis un correctif de sécurité a été publié. L'un des principes fondamentaux que vous devez suivre (comme vous le savez sans doute) consiste à TOUJOURS mettre à jour la dernière version et installer les derniers correctifs de sécurité. Cela, avec une force de mot de passe extrêmement élevée, est probablement la meilleure chose à faire, que vous utilisiez WP, WT, Drupal, etc.
Une différence principale - pour autant que je sache MT - est que la base de données n’a pas besoin de fonctionner. Le processus de publication que vous lancez dans MT lorsque vous êtes satisfait de votre nouvelle entrée génère de bonnes pages anciennes. alors que la plupart des autres blogs que je connais écrivent directement sur la base de données et que les pages sont ensuite construites "à la volée" au fur et à mesure que l'utilisateur les extrait. Si la base de données est en panne ou piratée, vous êtes utilisé. Avec MT et ses pages statiques, qu’un piratage ait tué votre sqldb ou pas, cela n’intéresse pas MT un iota - jusqu’à ce que vous ayez besoin de modifier les règles. Aussi agréable pour la vitesse lorsque l'hôte partagé souffle presque à pleine charge.
Donc, à mon humble avis, en ce qui concerne la 'capacité de survie' et la vitesse de publication des pages, vous auriez bien du mal à trouver quelque chose à battre MT. Peut être un chien dans d'autres domaines, mais la stabilité et la sécurité est certainement l'une des meilleures caractéristiques. Et c'est ce que vous avez demandé.