Содержание
Почему веб-сайты на основе CMS требуют тестирования
15 октября 07:34 2019 by Emma Dallas Напечатать эту статью
Если вы работали с сайтами, построенными на системах управления контентом (CMS), то вы знаете, что такие сайты на сто процентов требуют тестирования . Есть ли у таких систем общие проблемы или они зависят от типа CMS? Как выглядят их типичные ошибки? Прочитайте, что говорят инженеры QATestLab о тестировании программного обеспечения на базе CMS.
Типы и функции систем управления контентом
По сути, система CM представляет собой набор скриптов и подключенных плагинов, которые строят страницу по шаблонам и наполняют ее информацией. Данные хранятся в базе данных, например, в MySQL, и берутся из нее при загрузке страниц на сайте. Функционирование системы управления контентом не требует установки стороннего программного обеспечения, так как сама система находится на сервере и доступна через простой браузер.
Что касается типов CMS , то они могут быть платными и бесплатными, с открытым исходным кодом или без него.
Плюсы платных систем — постоянная техподдержка от производителя, обновления версий, а также более высокая степень безопасности по сравнению с бесплатными продуктами. С другой стороны, у бесплатных систем нет главного недостатка платных CMS — их стоимости.
Среди основных возможностей , характерных для систем управления контентом, можно выделить:
- создание, редактирование и удаление разделов сайта, отдельных статей и модулей без привлечения стороннего специалиста;
- быстрая смена стиля сайта;
- настройка ролей пользователей и прав для управления контентом;
- быстрое подключение и настройка модулей;
- откат системы в случае критических ошибок;
- поддержка нескольких шаблонов.
В настоящее время почти все сайты используют CMS (кроме сайтов визиток, не требующих хранения объемов информации и специального функционала). В зависимости от потребностей и бюджета каждый может выбрать CMS, наиболее подходящую для его сайта.
Чек-лист необходимого для тестирования функционала CMS
Владельцы сайтов, а также тестировщики часто сталкиваются с рядом проблем при работе с сайтом. В частности, такие вопросы, как «что тестировать в CMS?» или «что игнорировать при тестировании CMS?» возникают. Эта статья поможет вам определить области и приоритеты в тестировании систем CM.
Итак, разделим систему на основные модули (разделы) — это Пользователи , Контент , Общие настройки и Безопасность . Рассмотрим возможные действия для каждого модуля и их приоритетную проверку:
Проверки в таблице сформированы из основных запросов и требований клиентов QATestLab. Настройки тестирования могут различаться в разных проектах.
Примеры ошибок, типичных для систем управления контентом
Для более полного понимания разберем кейсы по одной из проверок, применяемых при тестировании сайта (пример системного тестирования).
Например, обязательная проверка «Создание/редактирование различных типов контента (статей, страниц, товаров)».
При создании страницы статьи первое, что нужно сделать, это сохранить и опубликовать эту статью, заполнив все необходимые поля. Также важно отметить возможность добавления разных типов файлов и их отображения на странице. В эту проверку будет входить сохранение качества изображения, последовательности скачиваемых файлов и т. д. Далее необходимо проверить выпадающие списки и другие интерактивные элементы страницы. А также возможность сохранять, публиковать и удалять статьи.
Примеры ошибок при тестировании CMS
Чтобы быть более конкретным, вот несколько ошибок/недостатков в дизайне, безопасности и функциональности.
1. Дизайн. Хоть верстка и не тестируется специально, но есть баги, связанные с выбором элемента при тестировании CMS. Например:
2. Безопасность. Часто разработчики забывают о настройке доступности той или иной страницы для разных пользователей. Задача тестировщиков — проверить доступность админки для разных типов пользователей.
3.
Функциональность. Функциональные баги админки зависят от подключенных модулей и их настроек. Ниже приведены несколько примеров ошибок, основанных на проверках:
Надеемся, что информация и советы, которыми мы поделились, будут вам полезны. Не стесняйтесь оставлять комментарии в нашем блоге, если у вас есть дополнительные вопросы.
Узнайте больше от QATestLab
Какие риски, если ваш веб-сайт основан на CMS?
WordPress, Joomla, Drupal, Shopify и многие другие предлагают реальные возможности для создания эргономичных и эффективных сайтов. Однако с веб-сайтами CMS по-прежнему ассоциируется негативный образ: они будут небезопасными и легкой мишенью для злоумышленников.
Каковы риски кибератак на этих сайтах? Какие конкретные элементы CMS подлежат мониторингу?
Если вы отвечаете за платформу CMS , эта статья поможет вам определить основные риски и предоставит вам точки бдительности для повышения уровня безопасности.
Являются ли CMS более безопасными, чем разработки «с нуля»?
Вопреки распространенному мнению, сайты CMS так же безопасны, как и сайты, разработанные по запросу. Если вы используете CMS, которая хорошо известна и широко используется во всем мире, вы используете надежное решение, которое регулярно развивается. Это не обязательно будет иметь место для пользовательского веб-сайта, разработанного агентством или фрилансером, когда обслуживание не предусмотрено.
Тем не менее, CMS представляют риск более серьезных атак. Действительно, они являются объектом массовых атак со стороны хакеров, стремящихся использовать уязвимости, связанные с CMS. На пять основных CMS приходится 46,8% всех веб-сайтов: поэтому злоумышленники с большей вероятностью наткнутся на уязвимые сайты.
Типология пользователей платформы CMS также шире, чем для сайтов, разработанных по запросу, что означает, что есть пользователи, менее знакомые с передовыми методами обеспечения безопасности, что увеличивает вероятность успешных атак на CMS.
Риски CMS с открытым исходным кодом
С точки зрения безопасности основные CMS с открытым исходным кодом имеют то преимущество, что имеют открытый исходный код: исследователи безопасности имеют к нему доступ и тестируют его, что позволяет выявить недостатки безопасности. Обратная сторона медали заключается в том, что злоумышленники также имеют к нему доступ, что также может позволить им находить уязвимости и использовать их.
Большое сообщество вокруг основной CMS разработало множество плагинов, которые добавляют функциональные возможности, но также добавляют риски, связанные с интеграцией, настройкой и обслуживанием этих плагинов.
Безопасность CMS и плагинов зависит от сообщества, которое для основной CMS вообще очень активно. Тем не менее, необходимо проявлять бдительность в отношении обслуживания CMS. Всегда существует риск того, что решение может быть менее популярным, менее поддерживаемым или даже заброшенным в какой-то момент.
Риски проприетарной CMS
Как и в случае с любым проприетарным продуктом, безопасность будет зависеть от важности, придаваемой ему компанией, и знаний о безопасности команды разработчиков.
Преимущество проприетарной CMS в том, что за ее разработку и безопасность отвечает непосредственно команда. Поэтому вполне вероятно, что будет составлен план запланированных обновлений, функций, подлежащих тестированию, элементов, подлежащих исправлению и т. д.
Однако необходимо помнить об одном моменте: возможно может быть в какой-то момент заброшен редактором и что больше не проводится какое-либо техническое обслуживание.
Будь то CMS с открытым исходным кодом или проприетарная, ваш выбор должен быть сделан в соответствии с потребностями вашей ситуации. Безопасность вашего сайта зависит прежде всего от того, как он управляется, настраивается и поддерживается, а не от того, основан ли он на CMS с открытым исходным кодом или нет.
Риски, связанные с обновлениями CMS
Одним из основных рисков, связанных с CMS, являются обновления.
Обновления должны производиться регулярно, так как CMS быстро развивается.
Кроме того, регулярно обнаруживаются и затем исправляются новые уязвимости, поэтому необходимо как можно быстрее устанавливать обновления и часто проверять доступные исправления.
Обновления распространяются не только на версии самой CMS, но и на версии различных используемых плагинов. Для основной CMS с открытым исходным кодом доступно большое количество плагинов.
Есть два основных принципа, которые следует учитывать при выборе плагинов:
- Отдавайте предпочтение плагинам, которые постоянно обновляются (чтобы не подвергать себя риску в случае обнаружения новых уязвимостей в неподдерживаемом плагине).
- Отдайте предпочтение признанным и широко используемым плагинам, а не «внутренним» плагинам, разработанным для конкретных нужд, которые вам не нужны.
Рекомендуется внимательно следить за развитием каждого плагина, используемого для вашего сайта.
Риски, связанные с индивидуальными разработками CMS
Другой серьезный риск, связанный с CMS, связан с конкретными разработками.
Многие веб-сайты на основе CMS зависят не только от конфигурации, но и от индивидуальных разработок, выполняемых либо собственной командой разработчиков, либо поставщиком услуг.
Если ваш сайт включает в себя определенные разработки, то они представляют те же риски, что и для сайта, разработанного «с нуля». Вопросы, которые нужно задать, аналогичны:
- Каковы навыки разработчиков по вопросам безопасности?
- Проводили ли мы тесты на проникновение?
- Как мы можем исправить потенциальные недостатки в нашем коде, чтобы предотвратить инциденты?
Риски, с которыми сталкивается ваш веб-сайт, зависят от его размера и функциональности: кража данных, особенно для сайтов, позволяющих создавать учетные записи клиентов, а также перебои в обслуживании или незаконное размещение контента…
Тогда лучшее решение состоит в выявлении недостатков безопасности. чтобы исправить их, проведя веб-пентест, который сначала может сосредоточиться только на основных рисках.