Текст книги "CMS Drupal: система управления содержимым сайта"

Если вы помните, в процессе установки шестой версии CMS Drupal мастер у вас спрашивал, нужно ли использовать чистые ссылки? Если тогда вы приняли неправильное решение, то еще есть возможность раскаяться и все исправить. Для тех же, кто пользуется пятой версией CMS Drupal, все только начинается – на этапе установки и речи не было о чистых ссылках, поэтому сейчас пришла пора задуматься над их использованием.

Чтобы включить или отключить механизм чистых ссылок, достаточно воспользоваться переключателем Чистые ссылки, расположенным в разделе Управление → Настройка сайта → Чистые ссылки.

Вот и все – вопрос решен. Дело осталось только за малым – понять, что же такое чистые ссылки. На самом деле все просто. Вы сразу поймете, в чем заключается механизм чистых ссылок, если посмотрите на два одинаковых адреса: http://<сайт>/?q=admin/settings/clean-urls и http://<сайт>/admin/settings/clean-urls. Или на эти два одинаковых адреса: http://<сайт>/?q=admin/settings и http://<сайт>// admin/settings.

Различие в этих адресах только одно: в первом путь к открывающейся странице указывается в виде значения переменной (q), а во втором – в виде самого пути к открывающейся странице. Скажу сразу, что по умолчанию CMS Drupal, как и любая другая система управления содержимым, использует первый вариант адресации. Он намного удобнее для компьютера, однако пользователю такие адреса очень не нравятся. Механизм чистых ссылок был придуман именно для того, чтобы угодить любому пользователю. Включив его, вы скажете CMS Drupal, что она должна создавать синонимы реальных адресов, которые и будут использоваться для адресации к страницам сайта. Иными словами, ваша система по-прежнему будет работать с адресами вида http://<сайт>/?q=admin/settings, однако пользователю будут отображаться адреса вида http://<сайт>/admin/settings.

Лучше всего включить механизм чистых ссылок. Это сделает навигацию по вашему сайту проще. Но это не главное. Главное – это модно и добавляет вашему сайту солидности.

Механизм чистых ссылок работает на основе модуля mod_rewrite веб-сервера Apache, поэтому, если у вас этот механизм не работает, следует проверить, включен ли данный модуль.

Ни в одном процессе нельзя обойтись без ошибок, тем более в процессе создания сайта. Особенно это актуально, если вы знаете PHP и намерены заняться программированием на этом языке (настройкой CMS Drupal для себя). По этому поводу есть даже несколько интересных цитат и законов Мерфи.

▪ Если отладка – процесс удаления ошибок, то программирование должно быть процессом их внесения.

▪ Ошибка? Это не ошибка, это системная функция.

▪ Во время исполнения ошибки имеют наивысший приоритет. Прервать исполнение ошибки может только другая, более активная ошибка.

▪ Когда программист испытывает затруднения при поиске ошибки, это значит, что он ищет не там, где следует.

▪ Я только что нашел последнюю ошибку.

▪ Если вы с первого раза сумели написать программу, в которой транслятор не обнаружил ни одной ошибки, сообщите об этом системному программисту. Он исправит ошибки в трансляторе.

…Ну и так далее. На самом деле тема ошибок – настолько грустная, что по ее поводу было придумано просто огромное количество юмористических цитат и афоризмов. Так уж устроен человек: на душе становится легче, когда над грустным начинаешь смеяться.

В настройках CMS Drupal есть специальный раздел, позволяющий быстро настроить большинство возможностей системы, связанных с обнаружением различных ошибок. Не обходите его стороной! По умолчанию CMS Drupal настроена на разработку вашего сайта, а не на выкладывание его в Интернете. Поэтому перед тем, как разместить готовый сайт в Сети, необходимо выполнить некоторую дополнительную настройку системы оповещения об ошибках. Иначе ваш сайт может оказаться под угрозой взлома.

Для настройки системы оповещения об ошибках предназначен раздел Управление → Настройка сайта → Сообщения об ошибках. В нем вы сможете найти следующие элементы управления.

▪ Поля Страница по умолчанию для ошибки 403 (доступ закрыт) и Страница по умолчанию для ошибки 404 (не найдено). По умолчанию при возникновении данных ошибок пользователю отправляются стандартные сообщения. Но с помощью этих полей вы можете изменить стандартные сообщения об ошибках! Просто создайте HTML-страницы с нужными сообщениями и укажите в названных полях пути к этим страницам.

▪ Раскрывающийся список Сообщения об ошибках. Обязательно обратите внимание на этот раскрывающийся список. Он позволяет выбрать действия, которые будут происходить при возникновении ошибок. По умолчанию сообщение о возникшей ошибке не только заносится в журнал, но и выводится на экран. А этого делать ни в коем случае нельзя! Вывод сообщений о возникших ошибках – это все равно что приглашение взломать ваш сайт. Выводя сообщения об ошибках на экран, вы тем самым очень упрощаете работу хакера, если он вдруг решит взломать ваш сайт. Поэтому перед тем, как выложить проект в Интернете, обязательно измените значение данного раскрывающегося списка – выберите в нем пункт Записывать ошибки в системный журнал.

▪ В шестой версии CMS Drupal в данном разделе появился еще один раскрывающийся список – Очищать записи в системном журнале старше, чем. Он позволяет указать время хранения записей об ошибках в журнале. По истечении указанного времени старые сообщения об ошибках будут автоматически удаляться (если у вас правильно настроен используемый в CMS Drupal планировщик заданий).

В шестой версии CMS Drupal появился еще один раздел, предназначенный для настройки различных системных сообщений. Это раздел Управление → Настройка сайта → Отчеты и сообщения → Отчеты в базе данных. Он позволяет указать максимальное количество записей в базе данных, содержащей сообщения о системных событиях. Для этого предназначен раскрывающийся список Удалять старые записи из журнала, если их становится больше, чем. При превышении указанного количества записей старые записи будут автоматически удаляться из базы данных.

Нужно заметить, что в шестой версии CMS Drupal раздел Отчеты в базе данных появился неспроста. Есть то, что отличает пятую версию CMS Drupal от шестой. А именно – в шестой версии вы можете настроить систему так, чтобы она хранила сообщения об ошибках не в файле журнала на диске, а в отдельной базе данных. Для этого предназначен специальный модуль, о чем мы еще поговорим далее в этой книге.

Бывают ситуации, когда работу вашего сайта нужно временно приостановить, запретив доступ к нему посетителям из Интернета. Это может понадобиться по каким-либо техническим причинам или же после успешной (или неуспешной) атаки хакера на ваш сайт – для восстановления функциональности и поиска следов деятельности хакера. Тьфу-тьфу. Пусть этого никогда не случится!

Вы должны всегда быть готовы к таким ситуациям. Именно поэтому мы затронем эту щекотливую тему. Тем более что разработчики CMS Drupal постарались максимально облегчить вашу задачу – для того чтобы временно закрыть сайт, вам достаточно воспользоваться разделом Управление → Настройка сайта → Сайт на обслуживании.

В этом разделе установите переключатель Состояние сайта в положение Обслуживание. После этого в поле Сообщение о перерыве в работе сайта можно описать возникшую проблему, из-за которой сайт временно закрыт. Это сообщение будет выводиться всем посетителям, которые зайдут на ваш сайт. В том числе и вам.

Чтобы зайти на сайт, который закрыт на обслуживание, нужно открыть страницу http://<сайт>/user. Здесь вы сможете найти форму для входа на сайт. Ею смогут воспользоваться только те пользователи, которые обладают правом Управление настройками сайта. В частности, это сможет сделать администратор сайта. Иначе ваш сайт был бы закрыт навечно, и только хакеры смогли бы на него зайти – взломав его перед этим.

Пользователи и доступ

Теперь вы знаете, как настроить сайт, работающий на основе CMS Drupal. Однако этих знаний недостаточно для того, чтобы полноценно работать с ним. Ведь мы еще не знаем ответов на два главных вопроса: как настроить систему регистрации и аутентификации пользователей на вашем сайте и как, собственно, можно публиковать материалы на сайте. Ответ на последний вопрос мы получим, только когда полностью разберемся с возможностями CMS Drupal и настроим ее для себя. А вот ответ на первый поставленный вопрос ждет вас буквально на следующих страницах данной книги.

CMS Drupal поддерживает четыре способа регистрации новых пользователей на сайте. По умолчанию применяется самый распространенный способ – самостоятельная регистрация пользователя на вашем сайте с помощью специальной формы с обязательным подтверждением адреса электронной почты. Кроме того, есть следующие способы регистрации пользователей:

▪ выполняется вручную администратором сайта;

▪ осуществляется автоматически с помощью специальной формы, при этом адрес электронной почты, указанный пользователем, не проверяется;

▪ выполняется автоматически с помощью специальной формы, однако пользователь не сможет войти на сайт под своей учетной записью до тех пор, пока администратор не подтвердит его прав на вход.

Выбрать конкретный способ регистрации новых пользователей на сайте можно в разделе Управление → Управление пользователями → Настройки пользователей. Для этого предназначен переключатель Регистрации, а также флажок Требуется подтверждение по электронной почте при создании пользователем учетной записи.

Если он установлен, то после регистрации пользователя на указанный им электронный адрес будет отправлено письмо с информацией о логине и пароле. В данном случае пароль входа в систему генерируется автоматически, что и является доказательством правильности указанного электронного адреса – без знания пароля, который пришел в письме, пользователь не сможет войти на сайт.

Помимо этих элементов, в разделе Настройки пользователей присутствует множество других элементов управления, позволяющих настроить параметры регистрации пользователей на вашем сайте. Рассмотрим и их.

▪ Поле Инструкции по регистрации пользователя. Если у вас есть какие-нибудь пожелания или разъяснения того, зачем нужно регистрироваться на вашем сайте, можете указать их в данном поле. Его содержимое будет отображаться над формой регистрации пользователей на вашем сайте.

▪ Набор полей из области Установки писем, отсылаемых пользователям. В процессе регистрации нового пользователя на его электронный адрес могут отправляться служебные письма. Кроме того, служебное письмо посылается уже зарегистрированному пользователю в том случае, если он забыл свой пароль и просит прислать его на электронный ящик. И наконец, служебные письма отсылаются при активизации, блокировке и удалении учетной записи пользователя сайта. Вы можете изменить тему и содержимое всех этих писем в разделе Управление → Управление пользователями → Настройки пользователей.

▪ Набор полей из области Изображения. Сейчас стало модно иметь свою собственную аватарку – маленькое изображение, которое одновременно характеризует и идентифицирует конкретного пользователя вашего сайта. В настройках раздела Управление → Управление пользователями → Настройки пользователей присутствует целый набор полей для настройки аватарок.

Прежде всего, вы можете указать, разрешено ли вообще использовать аватарки на вашем сайте. Если вы не против этого модного явления, то далее вам предлагается изменить следующие параметры выбора аватарки для нового пользователя:

– путь к папке на сайте, где будут храниться аватарки всех пользователей (она будет вложена в папку files);

– адрес аватарки, которая будет по умолчанию присваиваться всем пользователям;

– максимально возможная ширина и высота изображения (по умолчанию 85 х 85 пикселов);

– максимально возможный размер файла изображения (по умолчанию 30 Кбайт);

– текст, отображаемый рядом с формой отправки аватарки на ваш сайт и дающий дополнительные пояснения о том, зачем вообще пользователю нужна аватарка.

Нельзя не напомнить о том, что следует быть предельно осторожными, добавляя любую возможность загрузки чего бы то ни было на ваш сайт. Дело в том, что любая возможность загрузки файлов снижает безопасность сайта и может привести к его взлому. Ведь один из способов взлома сайта – это загрузка на него специального шел-кода (shellcode), то есть разработанного взломщиком PHP-файла, который позволит ему делать с вашим сайтом все, что ему вздумается. Кроме того, взломщик может загрузить на ваш сайт локальный эксплоит[2]2
  Программа, эксплуатирующая уязвимость.


[Закрыть], который предоставит ему права полного доступа к операционной системе, установленной на компьютере, где расположен ваш сайт.

Конечно, файл изображения, используемый аватарками, трудно перепутать с PHP-файлом или эксплоитом и каждая CMS обязательно выполняет несколько проверок, чтобы определить, действительно ли ей передают файл изображения. Однако на данный момент существует несколько способов обойти такие проверки. Самый простой – поменять расширение PHP-файла на расширение разрешенного для загрузки изображения. Конечно, этот способ не пройдет с CMS Drupal, однако не следует забывать, что в каждой системе можно найти прорехи безопасности. Не говоря уже о самих файлах изображений – ведь, как в это ни трудно поверить, в некоторых форматах изображений уже находили дыры, позволяющие проникнуть в систему и делать с ней все, что заблагорассудится.

▪ Переключатель Подписи. В шестой версии CMS Drupal, помимо описанных элементов управления, в разделе Настройки пользователей появился еще один – переключатель Подписи. С его помощью можно определить, будет ли разрешено пользователям вашего сайта применять подписи. Подпись – это некая фраза, которая будет выводиться под каждым комментарием пользователя.

Регистрация нового пользователя

После того как вы настроили параметры регистрации пользователей на сайте, рассмотрим сам процесс регистрации. Он очень прост и не отличается от регистрации вашей учетной записи во время установки CMS Drupal.

Чтобы самостоятельно зарегистрироваться в системе, пользователь должен выбрать ссылку Зарегистрироваться, расположенную в блоке регистрации. После этого он перейдет на страницу http://<сайт>/?q=user/register, где ему будет предложено ввес ти свой логин и пароль. Сделав это и, если нужно, подтвердив достоверность своего электронного адреса, пользователь фактически уже зарегистрируется в системе.

Примечание

Если вы сняли флажок Требуется подтверждение по электронной почте при создании пользователем учетной записи, расположенный в разделе Управление → Управление пользователями → Настройки пользователей, то, помимо ввода логина и адреса электронной почты, пользователю будет предложено ввести свой пароль.

Актуальным остается вопрос о том, для чего мы включали возможность использования картинок и подписи, если они никак не настраивались в процессе регистрации? Не стоит огорчаться по этому поводу – аватарка, подпись и другие параметры действительно не указываются при регистрации, однако их можно настроить уже после регистрации. Когда пользователь входит на ваш сайт, к странице сайта добавляется блок ссылок для зарегистрированного пользователя. В этом блоке достаточно выбрать ссылку Мой профиль. После этого пользователь перейдет на страницу, состоящую из двух подразделов: Просмотреть и Изменить. По умолчанию отображается подраздел Просмотреть, где показано общее время, проведенное пользователем на вашем сайте. Если же вы воспользуетесь ссылкой Изменить, то сможете перейти к подразделу настроек учетной записи пользователя. Здесь-то и изменяются абсолютно все настройки учетной записи:

▪ имя пользователя, электронный адрес и пароль;

▪ статус учетной записи (активна или заблокирована);

▪ язык интерфейса сайта, если вы, как администратор, помимо английского интерфейса, импортировали другие языки;

▪ путь к аватарке пользователя;

▪ подпись пользователя (только в шестой версии CMS);

▪ часовой пояс, который будет использоваться только для текущего пользователя (если вы разрешили возможность установки персонального часового пояса).

Регистрация пользователя вручную. Мы рассмотрели способ регистрации пользователей посредством специальной формы на вашем сайте. Однако, помимо него, существует еще один способ – регистрация нового пользователя вручную вами как администратором сайта. Для этого перейдите в раздел Управление → Управление пользователями → Пользователи, после чего воспользуйтесь ссылкой Добавить пользователя, расположенной в верхней части отобразившейся страницы. Откроется страница регистрации нового пользователя, в которой нужно ввести его логин, адрес электронной почты, пароль и статус создаваемой учетной записи (активна или заблокирована). Кроме того, обратите внимание на флажок Уведомить пользователя о создании учетной записи. Если вы его установите, то после регистрации нового пользователя на его электронный адрес поступит сообщение о том, что он зарегистрирован на вашем сайте. Это бывает очень полезно.

Просмотр списка всех зарегистрированных пользователей

Раздел Управление → Управление пользователями → Пользователи предназначен не только для того, чтобы вручную регистрировать новых пользователей на вашем сайте. В первую очередь он служит для того, чтобы иметь возможность следить за количеством пользователей, которые уже зарегистрированы на вашем сайте. Перейдя в этот раздел, вы увидите список всех зарегистрированных пользователей и основную информацию о них: логин, статус, к какой роли относится (о ролях будет рассказано в следующем подразделе), а также общее время, которое пользователь провел на вашем сайте, и дату последнего посещения сайта. Кроме того, вы можете отредактировать настройки любого пользователя из списка. Для этого достаточно воспользоваться ссылкой изменить напротив имени нужного пользователя (в столбце Действия).

Если на вашем сайте зарегистрировано много пользователей, то можете воспользоваться возможностью фильтрации, чтобы отобразить список лишь нужных в данный момент посетителей. Система Drupal поддерживает возможность фильтрации на основе прав доступа к сайту или отдельным его модулям, а также на основе состояния учетной записи.

Удаление существующего пользователя

Какой же вы администратор, если не можете удалять пользователей, зарегистрированных на сайте? Рассмотрим, как выполнять это простое действие.

Для удаления пользователя нужно воспользоваться уже известным разделом Управление → Управление пользователями → Пользователи. Достаточно в списке пользователей найти нужного вам, после чего установить флажок слева от его имени и выбрать в раскрывающемся списке из области Обновить параметры пункт Удалить отмеченных пользователей. После этого не забудьте нажать кнопку Обновить, также расположенную в области Обновить параметры.

Блокировка пользователя

Блокировка пользователя – еще одна возможность, которую предоставляет вам раздел Управление → Управление пользователями → Пользователи. Просто найдите нужного пользователя в списке пользователей, установите флажок слева от его имени и выберите в раскрывающемся списке из области Обновить параметры пункт, соответствующий вашим намерениям. Если вы хотите заблокировать пользователя, то выберите элемент Блокировать отмеченных пользователей. Для осуществления противоположного действия выберите элемент Разблокировать отмеченных пользователей. После этого не забудьте нажать кнопку Обновить, также расположенную в области Обновить параметры.

Пароль: подбор, смена

Еще одна задача, которая может стоять перед администратором, решается так же быстро и просто, как и рассмотренные ранее. Если вы хотите изменить пароль от учетной записи конкретного пользователя, то найдите его в списке всех зарегистрированных пользователей раздела Управление → Управление пользователями → Пользователи. После этого выберите ссылку изменить, расположенную напротив имени нужного пользователя. Вы перейдете к разделу настроек пользователя, и вам останется только одно – воспользоваться полями Пароль и Повторите пароль, чтобы изменить текущий пароль на тот, который вам нравится больше.

Примечание

Еще один способ получить доступ к профилю конкретного пользователя – воспользоваться записями в системном журнале, если там упоминается данный пользователь. Об этом мы поговорим далее в книге.