[php] 您将哪些额外的证券添加到您的开源CMS安装?



Answers

如果你是超级偏执的人,将设置在沙箱中的应用程序,并有一个Apache代理。 但是,除非你有很多敏感的数据,并且/或者是真正的偏执狂和/或之前已经被破解的,否则这个数字就会大打折扣。

如果应用程序允许更改管理路径通常也是一个好主意。 例如,使用搜索替换将Wordpresses默认管理员从/ wp-admin更改为其他内容(例如/ my-admin)非常简单。 但这并不总是可能的。

您还需要彻底检查可以在应用程序中自行设置的任何用户角色和权限。 例如,Drupal有一个非常强大的用户访问系统。 但是你需要确保你不给任何用户访问权限

其他事情包括禁用或删除任何不是系统运行所必需的模块/扩展/插件。 个人检查所有的MySQL用户,以确保没有人可以远程连接到服务器。 你也可以为服务器上的所有用户(除了root用户)设置一个chroot jail,这样它们就被锁定到一个目录中,并且不能离开它。

Question

我知道,开源并不一定使程序比封闭源码更安全(让我们假设这种中立性,以防止火焰熄灭)。 事实是:由于源代码是开放的,每个人都知道你的默认网址,默认管理员登录等。

我在我的客户的一些项目中使用Wordpress和Joomla,而且我总是尝试创建一些额外的安全性。 除了总是将文件更新到最新版本之外,在这种情况下,通常要做些什么来增加更多的安全性? 我的一些想法:

  • 在适用时,我总是更改“管理员”的名字;

  • 我不想明确地说出我正在使用哪种技术,但是因为我想宣传cms(我认为是最低限度的我应该做的),所以我只是不说明确的版本,所以攻击者不知道他们可以攻击的确切的漏洞(WordPress的自动在HTML中创建一个元标记,例如“Wordpress 2.8.4”);

  • 在目录中设置正确的权限,并在我的服务器上运行bash脚本,每天在0h设置755到我可能在一天中改变为775的目录,并忘记返回;

  • 适用时,我设置Apache配置来限制ips。

我还应该做什么? 你通常对你的装置做什么“开箱即用”的解决方案?




在Joomla中,我会将数据库前缀更改为与jos_不同的内容。




Related