Вопрос от новичка по безопасности

Привет! Я только начал 14-дневный пробный период, и мне всё нравится. У меня есть вопрос по безопасности:

Раньше я использовал форум Simple Machines, связанный с моим сайтом, но это оказалось огромным риском для безопасности: спамеры использовали форум как заднюю дверь для доступа к моему сайту и затем выводили его из строя.

Я планирую использовать стандартный аккаунт Discourse, размещённый на серверах Discourse (я правильно понимаю?).

Какой тип фаервола существует между форумом Discourse и моим связанным сайтом?

Мой сайт размещён на Squarespace.

Заранее спасибо за помощь и советы.

Discourse используется многими крупными технологическими компаниями

Это надежная система. Вы не можете разместить сайт на базе Discourse на Squarespace — он будет размещен на серверах компании Discourse. Именно за это вы платите, и это будет отдельная сущность.

У них также действует активная программа вознаграждений за уязвимости на HackerOne:

В целом, в Discourse вопросам безопасности уделяется пристальное внимание: они считаются критически важными и относятся к ним соответствующим образом.

Несколько лет назад наш физический сервер был взломан (99% из-за устаревшего сайта Confluence). Почти всё было уничтожено, кроме Discourse. За последние 10 лет у нас было всего около 4 спамеров. Но мы не известны. За последние 3 месяца я видел примерно 2 спамеров в самом Discourse Meta, которые прошли весь путь до публикации сообщения на форуме. Я считаю, что система изначально построена так, чтобы быть устойчивой к спаму. Мне кажется, это даже была основная идея, с которой они начинали.

Ваш сайт на Squarespace — это сайт на WordPress? В категории «Документация» есть методы интеграции для встраивания сайтов.

Discourse AI может использовать бесплатные ИИ-модели, такие как Gemini Flash, а при размещении на хостинге могут быть доступны и другие.

В наборе плагинов для ИИ есть функция обнаружения спама с помощью ИИ, которая может быть вам полезна.

Если кошмары возникают из-за интеграции форума в качестве системы комментариев на другом сайте, например WordPress ^[1], я не могу дать вам технических объяснений — но я использую Discourse именно так, и многие другие тоже, без проблем.

Если (и когда?) вы используете Discourse в автономном режиме, как это делает большинство, ваш основной сайт — это просто ещё одна ссылка внутри Discourse. Тогда безопасность этого сайта/сервера, разумеется, зависит от того, что происходит там. А безопасность хостинга Discourse — это головная боль CDCK, а не ваша.

Но я уверен, что самохостинговых экземпляров больше, чем у CDCK, и снова же, другие могут предоставить вам более подробную информацию, но я никогда не слышал о взломанных или скомпрометированных экземплярах Discourse.

1. Не уверен, есть ли у хостинговых форумов такая возможность ↩︎

Squarespace — это хостинговый конструктор сайтов, а не платформа для размещения сайтов на WordPress. Однако он предоставляет возможности для встраивания внешних источников с помощью блоков кода и блоков встраивания.

Не совсем ясно, что именно имел в виду SamM, когда сказал: «Спаммеры будут использовать форум как заднюю дверь для доступа к моему сайту и затем обрушат его». Спаммеры не хотят обрушивать сайт; они просто хотят завалить его низкокачественной рекламой и кликбейтом. Если бы такое произошло, возможно, у Simple Machines не было таких инструментов для борьбы со спамом, как у Discourse.

Однако вопрос «Какой тип брандмауэра существует между форумом Discourse и моим связанным веб-сайтом?» кажется вопросом, который стоит задать Squarespace. Они предупреждают, что внедрение кода может вызвать проблемы с отображением, которые они не могут контролировать, но я не думаю, что встроенная публикация на форуме может нанести больший ущерб, чем это.

Это немного не по теме, но несколько лет назад с WordPress была реальная проблема. Первые спам-атаки срабатывали, но из-за хорошо известной уязвимости за ними последовали сотни других, и сервер упал. Или та же уязвимость использовалась скрипт-кидди, пытающимися захватить всю систему; и поскольку они в основном были просто копирайерами, их плохой код и отсутствие навыков всё сломали.

Одна реальность такова: лишь меньшинство спаммеров действуют как паразиты, тогда как большинство ведут себя скорее как бактерии или вирусы.

С Discourse ситуация иная. Но я полагаю, что подобные случаи лежат в основе этих опасений.

Действительно, много неизвестного. Например, имело ли программное обеспечение форума, которое они использовали, какие-либо реальные функции обнаружения и сдерживания спама? И, конечно же, какие функции предоставляет Squarespace, если используется конструктор сайтов.

Нужна большая ясность от автора темы (ОП)

Мы очень серьезно относимся к безопасности данных. Вы можете ознакомиться с нашими сертификатами и результатами тестирования по адресу CDCK Inc. Forms | Discourse - Civilized Discussion.

Полный ответ на этот вопрос буквально занял бы целую книгу по безопасности.

Однако я дам вам здесь в основном полный ответ, предварительно прояснив некоторые моменты относительно того, что произошло с вами:

Звучит так, будто злоумышленники (а не «спамеры» — спамеры просто публиковали бы спам) смогли эксплуатировать уязвимости в Simple Machines Forum и получить удалённый доступ к вашему серверу, на котором он был размещён. Вывод сайта из строя лишь препятствовал бы доступу к нему, а не предоставлял бы злоумышленникам такой доступ.

Предположительно, на этом сервере также размещались другие сервисы или хранились другие данные?

Лучше всего рассматривать это в терминах «радиуса поражения». В случае, если кто-то получил несанкционированный административный доступ к вашему форуму, у него будет доступ ко всем данным на форуме.

В частности, к персональным данным (PII), но также к конфигурации или другим секретам API. Например, если другой сервис на вашем домене полагался на этот сайт для аутентификации, это могло бы позволить злоумышленникам перейти к этому другому сервису.

В наихудшем сценарии, если злоумышленник получил доступ к серверам бэкенда (в общем случае известному как выполнение произвольного кода удалённо), радиус поражения также включал бы всё, что доступно учётной записи, под которой работает фактический сервис. Различные меры защиты для ограничения этого радиуса, такие как контейнеризация и запуск серверов с учётными записями без прав администратора, также помогают ограничить этот риск.

Подводя итог: размещение на управляемом сервисе является наиболее безопасным вариантом для вашего сайта, поскольку мы несём ответственность за безопасность системы.