Какая CMS с открытым кодом имеет минимальное количество уязвимостей?

Question

[Robot-Scalper.ru]

Предстоит выбор CMS для большого коммерческого проекта. Создавать велосипед, мне кажется, не очень разумно.
Но, насколько можно полагаться на безопасность CMS с открытым кодом, сложно сказать.
Также важно, чтобы функциональность CMS была на высоком уровне.
Уязвимости плагинов не рассматриваем. Вопрос исключительно по CMS.
Поделитесь мыслями, кто знает.
Спасибо.

Answer 1

[alexxandr]

Wordpress - дыра
Drupal - дыра
joomla - дыра

никакая

Answer 2

[Mr Crabbz]

Ну Вордпресс например реализовал принудительные автоматические обновления движка, относящиеся к безопасности (да и любые критические обновления в целом). Причем они довольно регулярны. А сейчас вон вообще к релизу 4.4 готовят.
Мне кажется, что чем чаще обновляется движок - тем меньше в нём дыр. По крайней мере, судя по ченжлогам вп, дыры там закрывают регулярно.

Comments

[Mark Doe]

Только появляются они регулярно, тысячи сайтов успевают нахватать всякого пока патч выкатят, некоторые зиродеи висят по 2-3 месяца

[Алексей Лазутин]

С вордпресоом всё не так просто. Сложность не в том, что он дырявый. В этом нет сложности так как это не так. А вот темы и плагины... это адовый ад. Даже дорогие и платные... Всё от того что из гибкого движка оно стало МОНСТРОМ =(

[Mr Crabbz]

Mark Doe: Мне кажется, это применимо к абсолютно любой CMS, которая свободно доступна в интернете. Да и к платным тоже применимо. Просто нужно быть немного хитрее, ставить всякую защиту типа Wordfence Security, которая будет фиксировать несанкционированные изменения файлов и базы вашего ВП-сайта. И всё будет хорошо)

[Mr Crabbz]

Алексей Лазутин: А вот тут простое решение: Пишете свою тему с нуля (ну или со стартовой темы) - будете уверены, что всё хорошо. Или по крайней мере будете знать где копать проблему.

[Алексей Лазутин]

Роман Краббз: это понятно. Но я не о том. Вопрос у ТС был про дырки. Я пояснил откуда они беруться.

[dpismenny]

Mark Doe: Они появляются не чаще, чем у других движков. А вот закрывают их намного быстрее и это видно в реале. Плюс большинство проблем у пользователей не от дыр в WP, а от шаровых плагинов и банальных логин/пароль...

[Mark Doe]

Денис Письменный: на счет закрываются намного быстрее - даже не смешно.
Репортил им CSRF через h1, закрыли чере 3(!) месяца

[Mark Doe]

Роман Краббз: все будет хорошо, пока через очередную хранимку\csrf не уведут доступ к адмике и не выключат все модные плагины. Вордпресс очень популярен, поэтому уязвимости в нем находят куда чаще. Это вроде и хорошо, а вроде и не очень - далеко не всегда их оперативно закрывают

[dpismenny]

Mark Doe: А по сравнению с другими бесплатными CMS как?

Answer 3

[Super User]

Drupal или Wordpress. Дыры там закрывают сразу. Но плагины (модули) Drupal имхо качественнее. А вообще, я бы взял лучше фреймворк, например Laravel.

Answer 4

[Александр]

Большой ком проект, это не вопрос(ответ), какие задачи конкретней. На статике делай, нет замков-нет уязвимостей.

Answer 5

[Андрей]

Я бы советовал WordPress. Обновления там автоматические, не надо заново перезалевать сайт как в Drupal