可能重复:
What are best practices for securing the admin section of a website?
我想知道在你的网站上做管理家务的唯一方法,比如禁止用户,删除帖子和调用其他管理功能,就是制作一个管理部分。阻止用户登录的唯一因素是密码。 是否有其他替代方案,例如用户看不到的页面?
答案 0 :(得分:1)
如果网站需要登录常规活动和管理员,例如在论坛上,我使用单独登录,它们使用相同的用户数据库。这可确保XSRF和会话窃取不允许攻击者访问管理区域。
此外,如果admin部分位于一个单独的子目录中,使用Web服务器的身份验证(例如Apache中的.htaccess)保护该部分可能是一个好主意 - 那么有人需要该密码和用户密码< /强>
模糊管理路径几乎不会产生任何安全性 - 如果有人知道有效的登录数据,他很可能也能找到管理工具的路径,因为他要么是通过网络钓鱼,要么是通过社交工程获得的(或者通过社交工程获得)也许揭示了这条道路)。但即使没有模糊的路径,你也不需要链接;只需手动输入即可访问管理区域。
蛮力保护,例如在3次登录失败后阻止用户的IP或在登录失败后需要CAPTCHA(不是第一次登录,因为这对于合法用户来说非常烦人)也可能有用。
但总而言之,除非您的网站包含敏感信息等,否则在大多数情况下,安全密码和安全漏洞都不够。