官方文檔只能說系統放在根目錄之上,並且將admin.php重命名爲某些模糊內容 - 這不是安全性,因爲它會給機器人帶來不便,因爲它會反覆嘗試重複執行domain.com/admin.php , 例如。我通常會聽到(今天在推特上是一個例子)關於如何保護表達式引擎的問題。在這方面我自己並不是非常有知識,所以爲了我和他人的利益,是否有一些#eecms安全專家在那裏可以分享每個人都應該考慮的基本要素?確保表達式引擎的一些最佳方法是什麼?
您還應該結賬Eric Lamb的Securitee(http://devot-ee.com/add-ons/securitee)插件,以此作爲確保EE的下一步。它會進行大量的安全檢查,以確保您的系統在整個網站生命週期中儘可能安全,因爲安全性不是設置和忘記的。從我的經驗來看,傷害通常不是來自黑客/機器人,而是來自擁有更多訪問系統的人。這也包括被授予臨時訪問權限的成員,但是他們的訪問權限從未被撤銷,我知道在開發完成後添加的系統中,通常會爲附加開發人員創建2-3個超級管理員來解決問題發展。雖然我並不是說插件開發人員會破壞您的網站,但這只是另一個需要解決的安全漏洞。
馬克的小冊子是一個偉大的,讀作是埃裏克·蘭姆的博客帖子大約Securitee http://mithra62.com/blog/view/why-you-should-care-about-securitee
基本安裝非常安全。重命名系統文件夾和/或admin.php會帶走他們可能敲打的第一個釘子。應特別注意可能存在一些安全漏洞的附加組件。
限制只能通過頭部編輯器訪問控制面板,並且只能訪問他們應該訪問的部件。如果通用用戶需要發佈文章,那麼可以通過安全附加組件來完成,但是在目前的狀態下可以通過安全檢查來完成。
馬克·霍特寫了保證expressionengine一本小冊子,你可以在這裏http://mijingo.com/products/ebooklets/securing-expressionengine-2/
推薦讀得到它。
我對Mark的小冊子印象不深。這似乎是他重新審視了文檔已經涵蓋的內容。不過,推薦的設置是有幫助的,而對於10美元,沒有理由不去撿起它。 – kgrote
如果你有一個lynda.com帳戶,退房「Wordpress 3: Developing Secure Sites」。我知道,我知道,WTF WordPress的?,對吧?但他所涉及的主題與任何基於DB的CMS都有關,他涵蓋了一系列的建議,其中包括真正的。只需將「插件」與「加載項」交換即可,這一切都非常熟悉。
很酷。我會看看這個,並且儘量不要在閱讀WP信息時堵嘴。 :) 謝謝! –
這個問題不太適合Q&A格式,因爲它會導致擴展的討論(這不是一個特定的問題 - 請參閱[FAQ](http://stackoverflow.com/faq))。只是一個模組,如果一個國防部看到它可能會被關閉。 –