官方文档只是说把系统放在root之上并将admin.php重命名为一些模糊不清的东西 - 这不是安全性,因为它会给机器人带来不便,否则只会尝试命中domain.com/admin.php例如,反复地我经常听到(今天在推特上就是一个例子)关于人们可以采取哪些措施来确保表达能力的问题。我自己在这个领域并不是非常了解,所以为了我的利益和其他人,那里有一些#eecms安全大师可以分享一些每个人都应该考虑做的必需品吗?
答案 0 :(得分:10)
您还应该检查Eric Lamb的Securitee(http://devot-ee.com/add-ons/securitee)附加组件,作为确保EE安全的下一步。它进行了大量的安全检查,以确保您的系统在整个网站的生命周期内尽可能安全,因为安全性不是设置和忘记的。根据我的经验,伤害通常不是来自黑客/机器人,而是来自能够访问系统的人。这还包括被授予临时访问权限的成员,但他们的访问权限永远不会被撤销,我知道在开发完成后添加的系统中,通常会为附加开发人员创建2-3个超级管理员来解决问题。发展。虽然我并不是说附加开发人员会破坏您网站上的破坏,但这只是另一个可能需要解决的安全问题。
马克的小册子和埃里克·兰姆关于Securitee的博客文章一样精彩,http://mithra62.com/blog/view/why-you-should-care-about-securitee
答案 1 :(得分:8)
推荐阅读。
答案 2 :(得分:4)
基本安装非常安全。重命名系统文件夹和/或admin.php会夺走他们可以锤击的第一个钉子。应特别注意可能存在安全漏洞的附加组件。
仅限头版编辑人员访问控制面板,并加强对他们应有权访问的部分的访问权限。如果通用用户需要发布文章,可以使用safecracker附加组件来完成,但在当前状态下可以使用安全检查。
答案 3 :(得分:3)
如果您有lynda.com帐户,请查看“Wordpress 3: Developing Secure Sites”。我知道,我知道, WTF Wordpress?!,对吗?但他所涵盖的主题与任何基于数据库的CMS相关,他涵盖了真正的广泛的建议。只需将“插件”与“附加组件”交换,这一切都非常熟悉。