Чем опасны решения из маркетплейса

Поговорим, опасно ли использовать то обилие бесплатных и платных решений с маркетплейса на своем веб-сайте.

Все обладатели веб-сайта на платформе 1С Битрикс знают о маркетплейсе решений, в котором можно найти и установить на свой веб-сайт какой-то недостающий функционал, это может быть Битрикс модуль, Битрикс компонент, Битрикс тема, и даже готовый сайт или готовый интернет-магазин и т.д.

Часть людей уже задумывается, почему так много стало бесплатных решений, на что  живут их разработчики, опасно ли их использовать на своих сайтах, а вот ответа на это вопрос от людей в теме что-то не слышно.

На данный момент на маркете очень много бесплатных решений, потому что добавляй кто хочет и что хочет, главное побольше, любой студент и даже школьник может легко добавить модуль на маркет.

Вот часть примеров, для чего:

  • для продажи собственных разработок и заработка на этом, классический заработок на хлеб и жизнь;
  • для саморекламы, для доп. клиентов и продаж совсем других услуг;
  • для портфолио и продвижения вообще других услуг;
  • для саморазвития и изучения рынка;
  • для взлома сайтов;
  • для сбора данных и спама;
  • для уничтожения конкурентов;
  • и т.д.

А вы задумывались об опасности, которая вас ждет, когда вы нажимаете кнопочку Установить?

Дело в том, что все решения на маркете проходят какую-то проверку/модерацию на соответствие требованиям всего один раз, это только первый раз, когда разработчик загружает новое решение на маркет и проходит процесс модерации решения, потом работают уже по факту с жалобами.

А вот дальше модуль живет уже своей жизнью, когда разработчик выгружает обновления модуля это уже никто не проверяет, в это время в модуле можно написать абсолютно любой механизм воздействия на ваш сайт и кражу любых данных, хоть пароль администратора сбросить, хоть резервную копию вашего сайта слить, хоть периодического агента добавить, хоть второго админа создать и т.д., вся ответственность лежит уже на плечах разработчика модуля и насколько богата его фантазия.

Также каждый разработчик видит в панели на каком сайте и веб-сервере какой модуль был установлен или обновлен, кто его владелец, но эти данные конечно на 100% не достоверные, т.к. владелец лицензии мог давно уже смениться, домен и сайт мог поменяться, да вообще владелец лицензии мог левые данные вбить, но и достоверные данные также есть.

Массовых нарушений может быть и нет, никто из нас не знает, многие разработчики боятся, потому что 100% кто-нибудь спалит, но это факт и с любым сайтом в любое  время может что-нибудь случиться, т.к. воздействовать на сайт можно разными способами, не только в процессе установки обновлений, тут важно знать, что у того разработчика, чей модуль вы установили на свой сайт, появился полный доступ к вашему сайту изнутри, если при установке модуля было все в порядке, то прилететь может в обновлении в любой момент все что угодно.

Большинство сайтов так и взламываются, через сторонние решения, особенно опасны бесплатные и очень популярные решения, тут десятки, а то и сотни тысяч сайтов под прицелом.

Когда вы скачиваете модуль на свой сайт, еще ничего не случилось, просто файлы модуля из маркета закачались на ваш сайт, это просто файлы на диске они еще не активны и нигде не используются, а вот далее, когда уже начинается процесс установки по кнопке Установить даже в этот момент выполняются скрипты и сделать можно что угодно, затереть временные файлы и вряд ли кто что-нибудь заметит, ну а когда модуль уже установлен и активен тем более.

Я сам иногда пробую различные решения с маркета, периодически встречаю либо встроенную рекламу, либо воруют контакты сайта или администратора для дальнейшего спама.

Опытные люди конечно про это знают и запросто отследят, потому что все подряд мы не ставим, только необходимое на тестовых сборках, тщательно проверяя код, наличие закодированного кода и внешние запросы, но можно атаковать даже один конкретный сайт, все остальные клиенты ничего и не узнают, поверьте, есть люди, которые этим пользуются.

В зоне риска больше обычные владельцы сайтов, кто привык все делать одной волшебной кнопкой, у кого по 30-50 модулей даже встречал на сайте, такой веб-сайт просто глючная и не предсказуемая бомба замедленного действия.

Советы

Доверять на маркете можно только тем, кого вы хорошо и давно знаете, кто много лет работает на площадке и только на себя, чьи модули проверены временем, в общем, это публичные и опытные веб-разработчики, зарабатывающие на хлеб, авторитет, развиваются, работают на результат и клиента, они ведут свой блог, пишут документации, общаются с клиентами публично, в общем, где жизнь кипит, вот где ничего не меняется годами, оттуда бегите.

На мой взгляд, даже не так важно, 1 решение или 100 у разработчика, платные они или бесплатные, важно знать разработчика, следить чем он занимается, как развивается, публичный или закрытый, в каком направлении двигается.

Так называемые технологические партнеры на маркете это самый явный источник опасности для вашего сайта, это есть те самые NONAME разрабы, когда какой-то конторе под заказ за деньги слепили дырявое одноразовое решение и залили на маркет ради саморекламы, продажи своих услуг, сбора данных клиентов.

Веб-студиям доверия уже давным давно нет, но про это знают только те, кто в теме, дело в том, что там почти у всех текучка, заработки поставлены на поток, разрабы там давно уже расходник, как масло и фильтры в автомобиле, еще маркетинг, реклама и все в таком духе, заниматься модулями там либо некогда, либо все будет на скорую руку, как попало, лишь бы продать, конечно есть исключения, есть ответственные руководители, добросовестные разработчики и просто хорошие люди, не 100% все, но в большинстве своем точно.

Ну а любому серьезному бизнесу 100% запрещено устанавливать сторонние решения с маркетплейса, да хоть откуда, вам нужно все писать свое, иначе вас на 99.9% взломают и сольют, как я писал выше, если вас захотят взломать через модуль, можно к примеру поискать в панели клиентов ваш сайт пользуясь фильтрами, также можно найти слабое место на вашем сайте, написать под вас модуль, залить его на маркет и потом через форму обратной связи или контакты по e-mail предлагать им воспользоваться под видом добродетелей, да уйма вариантов, в любом случае опасность вас ждет при первой же установке стороннего решения.

Конечно, если вы только начали работать с 1С Битрикс, вам будет трудно найти надежных людей, потому что все познается только в деле, когда делаешь, пробуешь, общаешься, ошибаешься, иначе никак, иначе это все красивая картинка, красивые отзывы на маркете также не показатель, многие сами себе их пишут.

А также хочу сказать про нынешний eCommerce, каждый, кто что-то продает, сталкивается с трудностями, когда нет клиентов, продаж, жить не на что, планы надо выполнять, вот у слабых людей и рождаются преступные мысли и желания легкого заработка, воровать данные, делать решения для спама, взлома и продажи вашего сайта конкурентам, это не редкость, это очень распространенная практика, многие просто не в теме и не сталкивались, потому что у вас скорее всего еще нет такого сайта, который бы пользовался спросом на рынке.

Тут по сути все также, как и с поиском разработчика для своего сайта, основополагающие критерии для отбора я вам рассказал, да, таких людей очень мало, они все заняты, с этим ничего не поделаешь, но, "кто ищет тот всегда находит", для вас еще важно научиться разбираться в людях, это пригодится и в жизни, хорошие люди есть, любой новичок имеет право дорасти до профессионала, вы можете расти вместе с ним, главное не выносить мозг, не прыгать вокруг 1 пикселя и кнопки, вовремя оплачивать работы, развивать свой бизнес, расти дружно вверх не зацикливаясь на мелочах, каждый делает и развивается как может, а потребительский интерес ко всему это дорога "в никуда".

Имя *
Логин (мин. 3 символа)
E-mail *
*— обязательные для заполнения поля
Логин или e-mail
TUNING-SOFT.RU Разработка умных веб-сервисов