Системы управления веб-контентом (WCMS) играют все более важную роль в эволюции Интернета. Это программные платформы, которые облегчают внедрение веб-сайта или электронной коммерции и набирают популярность благодаря гибкости и простоте использования. В этой работе мы объясняем с точки зрения учебника, как управлять WCMS и что можно достичь, используя их. С этой целью мы выбираем самый популярный WCMS с открытым исходным кодом; а именно Joomla !, WordPress и Drupal. Затем мы реализуем три веб-сайта, которые равны с точки зрения требований, визуального аспекта и функциональности, по одному для каждой WCMS. Благодаря качественному сравнительному анализу мы показываем преимущества и недостатки каждого решения и связанную с ним сложность. С другой стороны, проблемы безопасности могут возникнуть, если WCMS не используются должным образом. Из-за ключевой позиции, которую они занимают в сегодняшнем Интернете, мы выполняем базовый анализ безопасности трех веб-сайтов внедрения во второй части этой работы. В частности, мы объясняем уязвимости, улучшения безопасности, которые не должны выполняться, и какие WCMS изначально безопаснее.
Интернет более живой, чем когда-либо: количество веб-сайтов в Интернете уже превысило один миллиард [1], количество пользователей Интернета достигло почти четырех миллиардов [2], а уровень проникновения составляет более 51,7% [2] , Наблюдая тенденцию роста в последние годы, мы можем прийти к выводу, что эта эволюция входит в постоянную фазу, т.е. линейную, а не экспоненциальную. Однако, если мы проверяем другую статистику, мы обнаруживаем, что 60% малых и средних предприятий (SMB) не имеют корпоративного сайта [3]. Как следствие, все еще есть много возможностей для роста, и Web Content Management Systems (WCMS) облегчают эту задачу. WCMS – это программные платформы, которые обычно используются, когда необходим веб-сайт, обычно требующий разных пользовательских ролей, но при этом в то же время отсутствует знание веб-программирования [4-7]. В качестве инструмента WCMS быстро развиваются, будучи очень полезными для начинающих в области веб-разработки или для менеджеров малого бизнеса, поскольку веб-сайты могут быть легко реализованы по относительно низкой цене [8,9]. Одним из примеров может стать редакция газеты, в которой журналисты заинтересованы в выпуске онлайн-издания. В этом случае журналисты могут не знать достаточно о веб-программировании для разработки своего веб-сайта, имея только навыки офисного программного обеспечения. Именно в этом сценарии WCMS имеет большой потенциал. WCMS с открытым исходным кодом, также называемый WCMS второго поколения, – это платформы, часто основанные на PHP (PHP Hypertext Preprocessor) (в Интернете есть множество курсов, где можно освоить основы программирования на PHP, например, здесь на сайте WebShake.RU) и обычно питаемые сообществами пользователей, которые вносят новые решения и новые функции [01]. Основная структура WCMS имеет следующие части : (i); файлы менеджера контента; (ii) хостинг; поставщик для хранения файлов менеджера контента; и (iii) связанный баз данных, например MySQL ((My Structured Query Language)) для хранения информации о веб-сайте. WCMS предоставляет область администрирования или разработки, называемую back-end, где articler, функциональные возможности или любой другой аспект добавляется, удаляется или модифицируется. В то же время видимая часть websita, то есть то, что видит посетитель, является обратным интерфейсом.
Уязвимость безопасности является слабым местом для проектирования и реализации, и WCMS не являются исключением [9]. Ошибки и недостатки – оба (проблемы с программным обеспечением различаются: в терминах уровня, на котором они представлены (реализация и дизайн, соответственно), в любом случае они опасны и должны анализироваться [120]. Упрощенный способ заключается в том, из двух фаз: обнаружение, которое более длительное время и эксплуатация, когда известна слабость WCMS [13]. Защищенное приложение обеспечивает аутентификацию, конфиденциальность, целостность и доступность. В зависимости от услуги, на которую мы фокусируемся, мы могли бы отбросить некоторые из этих характеристик безопасности (например, конфиденциальность). Однако WCMS является ключевой частью сегодняшнего Интернета и стала целью для злоумышленников [14,151. Если WCMS имеет уязвимость безопасности, она может стать недоступной [16] , с соответствующим отрицательным эффектом ». Обычные последствия атак: уничтожение конфиденциальных данных, модификация данных, неправильное использование веб-сервера для противозаконных действий и, в частности, отказ в обслуживании (DoS).
Duet к ключевому положению thtt WCMS занимают в сегодняшнем Интернете, и безопасность касается этого автомобиля; возникают с ненадлежащим использованием конфигурации, цель этой статьи двоякая. Во-первых, мы расширяем работу, выполненную в [17], объясняя, как управлять WCMS с tutosial перспективы, и что может быть достигнуто с ее использованием. Для этого мы выбрали WCL WCL с точки зрения численности и производительности [18-21]; а именно WordPress [22], Joomla! [23], и Drupal [24]. Что касается популярности, тогда как только 23,6% веб-страниц были созданы с WCMS в январе 2011 года, этот показатель увеличился до 48,8%. в Januaty 2018 [19]. В 20k1,13.ktr сайтов были rmplemenrad с WordPress, 2,6% с J eomia !, и 1,4% с Drupal. В 2018 году наиболее часто используемым WCMS является WotdPress (29 .3% o), вторым предпочтительным вариантом является Joomla (3.2dd), а третья – Drupal (2.310). Другими словами, WordPress имеет долю рынка в 60% в январе 2018 года, за которой следует Joomia! и Drupal с 6,5% и 4,6% соответственно [18]. В работах производительности, выполненных в [20,21], было проведено сравнение нескольких WCM2, и оба исследования подтвердили, что WordPress, Joomla !, и Drupal являются наиболее эффективными, поскольку они увеличили время загрузки и хорошее статическое содержимое, показали наивысший уровень член установок, представил лучшую поддержку документации и т. д. Хотя Joomla! и Drupal потеряли некоторую значимость, они все еще широко используются, как показано в [25], что оправдывает их выбор для этой сравнительной работы. Методология, применяемая для сравнения, состоит в создании трех равных веб-сайтов, каждый из которых имеет разные WCMS. Будут обсуждены преимущества и недостатки каждого выбранного WCMS, а также их сложность. Во-вторых, мы проводим базовый анализ безопасности каждого внедренного веб-сайта, сообщаем об уязвимостях, о том, как надежно защищать их, какие ошибки можно избежать, а какие WCMS изначально безопаснее.
Оставшаяся часть теста организована следующим образом. Раздел 2 включает связанную работу. В разделе 3 обсуждаются все сведения о выбранных WCMS. Раздел 4 содержит руководство по созданию веб-сайта с использованием Joomla !, Drupal и WordPress, а также качественное сравнение. В разделе 5 представлены результаты базового анализа безопасности. Документ заканчивается заключением.
В соответствующей литературе есть несколько работ, посвященных работе, производительности и безопасности в WCMS. Согласно [7] и [8], WCMS выделяется, потому что быстрый дизайн возможен с использованием фреймворков и шаблонов. Кроме того, оба исследования подчеркнули интеграцию информации и знаний и высокий уровень эффективности и удобства использования в качестве основных преимуществ WCMS. Patel et al. сравнил в [20, 26] несколько WCMS, пытаясь определить правильный сценарий для каждой WCMS. Авторы в [21] представили сравнительное исследование семи WCMS, включая Drupal, Joomla! И WordPress. Тем не менее, сравнение было основано только на внедрении веб-сайта с каждой WCMS и на определении наличия или отсутствия заранее установленной функциональности, определенной как предыдущее требование. В [27] был представлен исчерпывающий анализ WCMS, но с чисто качественной точки зрения. Они рассматривали другие свойства WCMS, такие как влияние веб-сервера на производительность (например, Apache, Nginx и т. Д.) В соответствии с доступной статистикой.
С другой стороны, большинство уязвимостей WCMS можно найти в плагинах и расширениях (80%), и как только любая уязвимость известна, хакеры могут внедрять вредоносное ПО на веб-серверы [9]. Исследования, проведенные в [16,27], ввели и проанализировали безопасность в WCMS. В частности, авторы идентифицировали в [16] уязвимости и атаки, которым подвергается WCMS, и предложили возможные контрмеры. В качестве примера они использовали Joomla! и Drupal (с более ранними версиями, чем те, которые использовались в этой работе), и провели простые тесты на проникновение с использованием инструментов WebScarab [28] и TamperData [29]. В качестве основного результата авторы пришли к выводу, что, хотя предусмотрены механизмы безопасности, оба WCMS могут легко стать жертвами атак. Интересный инструмент под названием ZenIDS был представлен в [30] для выявления вредоносных действий в приложениях PHP и их защиты. Для выполнения этой задачи процесс выделяет две фазы: изучение функций и мониторинг. Наконец, авторы в [31] вычислили факторы риска веб-сервера, когда злоумышленники используют Apache, Nginx или Microsoft IIS и другие. Они также включали эффект запуска самых популярных платформ WCMS с обновленными версиями на тех веб-серверах, которые обнаружили, что последние версии были более скомпрометированы, чем менее популярные платформы WCMS или устаревшие версии. Чем больше дополнений или расширений, включенных в платформу WCMS, тем больше негативное влияние на безопасность. Как будет сказано ниже, наша работа обновляется [16] и вносит практический вклад в результаты, полученные в [27].
WordPress [23] является одним из самых популярных WCMS для создания динамических сайтов [25]. Вторая по популярности WCMS – Joomla!, которая совместима с базами данных MySQL, SQL Server и PostgreSQL. Одна из ключевых особенностей Joomla! заключается в том, что он предлагает самый широкий спектр функциональных возможностей, таких как галереи изображений, форумы, чаты, блоги, новости и т. д. Подобным образом, Drupal [24] также нацелен на создание динамических веб-сайтов. Он обеспечивает высокую совместимость с различными базами данных. Безопасность, быстрая загрузка и широкий спектр пользовательских ролей являются основными функциями Drupal; как пример последней характеристики, Drupal позволяет нам ограничить доступ конкретного пользователя таким образом, чтобы они могли изменять свойства определенной функциональности и даже изменять только определенные параметры этой функции. С другой стороны, WordPress [22] был первоначально ориентирован на создание блогов, но развился для предоставления веб-приложений и решений для электронной коммерции. Одна из ключевых особенностей WordPress – отличное позиционирование в поисковой оптимизации (SEO). Причиной этого является то, что WordPress имеет множество плагинов для быстрого включения в поисковые системы по сравнению с другими WCMS [32]. Кроме того, можно создать простой блог бесплатно под поддоменом платформы (.wordpress.com). Расширения и модули также могут использоваться в Joomla! и Drupal для достижения лучшего SEO, но эти параметры не оказывают такого большого влияния, как WordPress. Все платформы WCMS предлагают улучшить SEO вручную. Во время выполнения этой работы были доступны последние версии: Joomla! 3.6.5, WordPress 4.6.2 и Drupal 7.54. В таблицах 1-3 приведено краткое сравнение характеристик каждой версии.
Существует много различий между тремя выбранными WCMS. Существует много возможных сценариев, но, вообще говоря, веб-сайты начинаются с уменьшенного размера, и они не включают слишком много характеристик, модулей или содержимого. Со временем увеличение посетителей веб-сайта, новый разработанный контент, объем продаж и т. д. Порождает необходимость добавления новых модулей и расширений на веб-сайт, предоставляя им больше возможностей. WordPress предлагает множество расширений для вставки определенной функциональности, но у нее нет широкого спектра функций, которые Joomla! есть. Кроме того, WordPress включает в себя возможность добавления интегрированных расширений в среду управления. Наконец, Drupal является самым сложным WCMS с точки зрения расширения его возможностей, поскольку определенная функциональность может иметь зависимости от разных библиотек или функций, что делает этот процесс расширения длинным и утомительным. То же самое относится к диапазону функциональности, где Joomla! и WordPress имеет большое количество функций для расширения веб-сайта. Напротив, эта опция более ограничена реализацией Drupal. Хранилища очень важны для обновления WCMS, внедрения новых функций и улучшения существующих. Эти репозитории могут быть распределены, что относится к Joomla! и WordPress, или централизованно, например, в случае Drupal. Самые большие сообщества пользователей принадлежат Joomla! и WordPress, и, следовательно, у них очень активное сообщество пользователей и отличная документация. С другой стороны, сообщество пользователей Drupal ограничено, поскольку сложнее реализовать и управлять, имея в результате ограниченную документацию по сравнению с другими. Напротив, сложность Drupal позволяет увеличить разнообразие пользовательских ролей, что является преимуществом по сравнению с Joomla! и WordPress.
Использованные источники
- Available online: netcraft.com/ (accessed on 14 December 2017).
- World Internet Users Statistics. Available online: internetworldstats.com/stats.htm (accessed on 14 December 2017).
- How Very Small Businesses Are Utilizing the Internet Today and Future Future Expectations; GoDaddy LLC & Redshift: Scottsdale, AZ, USA, 2015.
- Cody, W.F.; Kreulen, J.T.; Krishna, V.; Spangler, W.S. The Integration of Business Intelligence and Knowledge Management. IBM Syst. J. 2002, 41, 697-713. [CrossRef]
- Bergstedt, S.; Wiegreffe, S.; Wittmann, J.; Moller, D. Content Management Systems and E-Learning Systems -a Symbiosis? In Proceedings of the 3rd IEEE International Conference on Advanced Technologies, Athens, Greece, 9-11 July 2003; pp. 155-159.
- McDaniel, R.; Fanfarelli, J.R.; Lindgren, R. Creative Content Management: Importance, Novelty, and Affect as Design Heuristics for Learning Management Systems. IEEE Trans. Prof. Commun. 2017, 60, 183-200. [CrossRef]
- Wan, S.; Li, D.; Gao, J. Exploring the Advantages of Content Management Systems for Managing Engineering Knowledge in Product-Service Systems. Procedia CIRP 2016, 56, 446-450. [CrossRef]
- Bianco, F.; Michelino, F. The Role of Content Management Systems in Publishing Firms. J. Inf. Manag. 2010, 30,117-124. [CrossRef]
- Shteiman, B. Why CMS Platforms Are Breeding Security Vulnerabilities. Secur. 2014, 2014, 7-9. [CrossRef]
- Internet Users and Penetration Worldwide. 2016-2021—Emarketer. Available online: emarketer. com/Chart/Internet-Users-Penetration-Worldwide-2016-2021-billions-of-population-change/206259 (accessed on 14 December 2017).
- Barker, D. Web Content Management: Systems, Features and Best Practices, 1st ed.; O’Reilly Media: Sebastopol, CA, USA, 2016, ISBN 9781491908129.
- McGraw, G. Software Security: Building Security in; Addison-Wesley: Boston, MA, USA, 2006, ISBN 0321356705.
- Hoglund, G.; McGraw, G. Exploiting Software: How to Break Code; Addison-Wesley: Boston, MA, USA, 2004; ISBN 0201786958.
- Available online: symantec.com/security-center/threat-report (accessed on 3 December 2017).
- Jonsson, E. Towards an Integrated Conceptual Model of Security and Dependability. In Proceedings of the First International Conference on Availability, Reliability and Security (ARES’06), Vienna, Austria, 20-22 April 2006.
- Meike, M.; Sametinger, J.; Wiesauer, A. Security in Open Source Web Content Management Systems. IEEE Secur. Priv. Mag. 2009, 7, 44-51. [CrossRef]
- Aledo-Hernandez, A.J.; Guillen-Perez, A.; Martmez-Caro, J.-M.; Sanchez-Iborra, R.; Cano, M.-D. Sistemas de Gestion de Contenidos Web: Uso Y Estudio Comparativo de Su Seguridad. In Proceedings of the XIII Jornadas de Ingenieria Telematica (JITEL 2017), Valencia, Spain, 27-29 September 2017. (In Spanish)
- Usage Statistics and Market Share of Content Management Systems for Websites, January 2018. Available online: w3techs.com/technologies/overview/content_management/all (accessed on 8 January 2018).
- Historical Yearly Trends in the Usage of Content Management Systems, January 2018. Available online: w3techs.com/technologies/history_overview/content_management/all/y (accessed on 11 January 2018).
- Patel, S.K.; Rathod, V.; Prajapati, J.B. Performance Analysis of Content Management Systems—Joomla, Drupal, and WordPress. J. Comput. Appl. 2011,21, 39-43. [CrossRef]
- Mirdha, A.; Jain, A.; Shah, K. Comparative Analysis of Open Source Content Management Systems. In Proceedings of the 2014 IEEE International Conference on Computational Intelligence and Computing Research, Coimbatore, India, 18-20 December 2014; pp. 1-4.
- Available online: wordpress.com (accessed on 1 December 2017).
- Available online: joomla.org (accessed on 1 December 2017).
- Available online: drupal.org (accessed on 1 December 2017).
- Web Technology Surveys. Available online: w3techs.com/technologies/overview/ content_management/all (accessed on 1 December 2017).
- Patel, S.K.; Rathod, V.R.; Parikh, S. Joomla, Drupal and WordPress—A Statistical Comparison of Open Source CMS. In Proceedings of the 2011 3rd International Conference on Trendz in Information Sciences and Computing (TISC), Chennai, India, 8-9 December 2011; pp. 182-187. [CrossRef]
- Jerkovic, H.; Vranesic, P.; Dadic, S. Securing Web Content and Services in Open Source Content Management Systems. In Proceedings of the 2016 39th International Convention on Information and Communication Technology, Electronics and Microelectronics (MIPRO), Opatija, Croatia, 30 May-3 June 2016; pp. 1402-1407.
- Proyecto Webscarab OWASP. Available online: owasp.org/index.php/Proyecto_WebScarab_ OWASP (accessed on 1 December 2017).
- Tamper Data: The Firefox Add-on. Available online: lifewire.com/firefox-addon-that-hackers- dont-want-you-to-know-about-2487289 (accessed on 1 December 2017).
- Hawkins, B.; Demsky, B. ZenIDS: Introspective Intrusion Detection for PHP Applications. In Proceedings of the 39th International Conference on Software Engineering, Buenos Aires, Argentina, 20-28 May 2017; pp. 232-243. [CrossRef]
- Vasek, M.; Wadleigh, J.; Moore, T. Hacking Is Not Random: A Case-Control Study of Webserver Compromise Risk. IEEE Trans. Dependable Secur. Comput. 2015,13, 206-219. [CrossRef]
- Shivakumar, S.K. Enterprise Content and Search Management for Building Digital Platforms; John Wiley & Sons: Hoboken, NJ, USA, 2016, ISBN 1119206812.
A Comparative Study of Web Content Management Systems
Received: 15 December 2017; Accepted: 25 January 2018; Published: 27 January 2018
Jose-Manuel Martinez-Caro,
Antonio-Jose Aledo-Hernandez,
Antonio Guillen-Perez,
Ramon Sanchez-Iborra,
Maria-Dolores Cano
If you found an error, highlight it and press Shift + Enter or click here to inform us.