官方文档只说将系统置于根目录之上并将 admin.php 重命名为一些晦涩难懂的东西 - 这并不安全,因为它会给机器人带来不便,否则它们会简单地尝试重复访问 domain.com/admin.php,因为例子。我经常听到(今天在 Twitter 上就是一个例子)关于人们可以做些什么来保护表达式引擎的问题。我自己在这方面的知识并不多,因此为了我和其他人的利益,是否有一些#eecms 安全专家可以分享每个人都应该考虑做的一些要点?
4 回答
您还应该查看 Eric Lamb 的 Securitee ( http://devot-ee.com/add-ons/securitee) 附加组件作为保护 EE 的良好下一步。它会进行大量的安全检查,以确保您的系统在您网站的整个生命周期内尽可能安全,因为安全性不是设置和忘记的东西。根据我的经验,伤害通常不是来自黑客/机器人,而是来自对系统有很多访问权限的人。这也包括被授予临时访问权限但他们的访问权限从未被撤销的成员,我知道在开发完成后我添加的系统中,通常会创建 2-3 个超级管理员,以供附加开发人员解决问题发展。虽然我并不是说附加开发人员会破坏您的网站,但这只是另一个需要解决的可能的安全漏洞。
Mark 的小册子和 Eric Lamb 的关于 Securitee 的博文一样非常适合阅读http://mithra62.com/blog/view/why-you-should-care-about-securitee
Mark Huot has written a small booklet on securing expressionengine, you can get it here http://mijingo.com/products/ebooklets/securing-expressionengine-2/
Recommended read.
基本安装非常安全。重命名系统文件夹和/或 admin.php 会带走他们可能敲击的第一个钉子。应特别注意可能存在一些安全漏洞的附加组件。
仅限主编访问控制面板,并严格限制对他们应该访问的部分的访问。如果一般用户需要发布文章,可以使用 safecracker 插件来完成,但在当前状态下,确实可以通过安全检查来完成。
如果您有 lynda.com 帐户,请查看“ Wordpress 3:开发安全站点”。我知道,我知道,WTF Wordpress?!, 正确的?但他涵盖的主题与任何基于 DB 的 CMS 相关,并且他涵盖了非常广泛的建议。只需将“插件”与“附加组件”交换,这都是非常熟悉的领域。