在哪里放置Web管理文件夹?

时间:2015-10-17 18:35:56

标签: php security admin

我的网站已编码,几乎可以部署了。唯一令人困惑的是将admin(后端)文件夹置于不可见性(扫描程序如acunetix)和安全性的位置。

目前,admin文件夹位于根文件夹中,如下图所示

enter image description here

我通过默默无闻地阅读"安全性"并对该主题有一个很好的理解。我在考虑(以前从未做过或尝试过)创建子域www.admin.abc.com,然后在那里上传管理内容。

哪一个更好的方式?

真诚地寻找您宝贵的意见。

3 个答案:

答案 0 :(得分:3)

与所有文件,管理员或其他文件一样,如果您不希望网络服务器将网址直接映射到文件,则应将其完全保留在网络安全之外。否则,它可能应该在webroot下的某个地方。

通过默默无闻问题的安全性的一点是,你不能信任一个微不足道的秘密(如URL)来保护它。因此,URL并不重要(至少从安全的角度来看),你可以把它放在方便的地方。只需确保你有一些真正的安全性(例如基于密码的身份验证)。

答案 1 :(得分:1)

首先,您不应该担心后端文件夹位置如果您的代码中没有漏洞。

如果它是私有软件(不是公开的开源软件),那么你有更好的机会,但是当你还在编码之初时,你可能有很多漏洞。

扫描仪软件无法发现任何未链接的文件夹(html源中没有链接),除非通过猜测最热门的关键字。

  • 建议让后端文件夹可以自由重命名(不包括在外面),并给它一个不常见的名称,甚至每个网站都有不同的名称。
  • 如果您认为自己可能存在代码漏洞,则还可以使用Apache密码保护来保护该文件夹。

答案 2 :(得分:0)

或者,您可以使用HTTP身份验证来限制管理文件夹,这样黑客就需要在看到登录页面之前绕过http身份验证。这应该可以保证管理员的安全,以及像Acunetix这样的应用程序会通过它。

除此之外,您还可以确保管理员使用HTTPS以防止密码劫持。