官方文檔只能說系統放在根目錄之上,並且將admin.php重命名爲某些模糊內容 - 這不是安全性,因爲它會給機器人帶來不便,因爲它會反覆嘗試重複執行domain.com/admin.php , 例如。我通常會聽到(今天在推特上是一個例子)關於如何保護表達式引擎的問題。在這方面我自己並不是非常有知識,所以爲了我和他人的利益,是否有一些#eecms安全專家在那裏可以分享每個人都應該考慮的基本要素?確保表達式引擎的一些最佳方法是什麼?
回答
您還應該結賬Eric Lamb的Securitee(http://devot-ee.com/add-ons/securitee)插件,以此作爲確保EE的下一步。它會進行大量的安全檢查,以確保您的系統在整個網站生命週期中儘可能安全,因爲安全性不是設置和忘記的。從我的經驗來看,傷害通常不是來自黑客/機器人,而是來自擁有更多訪問系統的人。這也包括被授予臨時訪問權限的成員,但是他們的訪問權限從未被撤銷,我知道在開發完成後添加的系統中,通常會爲附加開發人員創建2-3個超級管理員來解決問題發展。雖然我並不是說插件開發人員會破壞您的網站,但這只是另一個需要解決的安全漏洞。
馬克的小冊子是一個偉大的,讀作是埃裏克·蘭姆的博客帖子大約Securitee http://mithra62.com/blog/view/why-you-should-care-about-securitee
基本安裝非常安全。重命名系統文件夾和/或admin.php會帶走他們可能敲打的第一個釘子。應特別注意可能存在一些安全漏洞的附加組件。
限制只能通過頭部編輯器訪問控制面板,並且只能訪問他們應該訪問的部件。如果通用用戶需要發佈文章,那麼可以通過安全附加組件來完成,但是在目前的狀態下可以通過安全檢查來完成。
馬克·霍特寫了保證expressionengine一本小冊子,你可以在這裏http://mijingo.com/products/ebooklets/securing-expressionengine-2/
推薦讀得到它。
我對Mark的小冊子印象不深。這似乎是他重新審視了文檔已經涵蓋的內容。不過,推薦的設置是有幫助的,而對於10美元,沒有理由不去撿起它。 – kgrote
如果你有一個lynda.com帳戶,退房「Wordpress 3: Developing Secure Sites」。我知道,我知道,WTF WordPress的?,對吧?但他所涉及的主題與任何基於DB的CMS都有關,他涵蓋了一系列的建議,其中包括真正的。只需將「插件」與「加載項」交換即可,這一切都非常熟悉。
很酷。我會看看這個,並且儘量不要在閱讀WP信息時堵嘴。 :) 謝謝! –
- 1. 在Rails中爲引擎創建引擎的最佳方式是什麼?
- 2. 執行數學表達式的最佳方法是什麼?
- 3. 獲得表達式布爾值的最佳方法是什麼?
- 4. 表達式樹的ReadLine的最佳方式是什麼?
- 5. 什麼是確保HTML實體的最佳方式StringTemplate的
- 6. 什麼是確保web服務安全的最佳方式?
- 7. 保存表格中表格的最佳方式是什麼?
- 8. 確保Python中可靠路徑的最佳方法是什麼?
- 9. 處理這些PDFSharp表限制的最佳方法是什麼?
- 10. 確保用戶名不是保留字的最佳方式是什麼?
- 11. 什麼是確定提交表單的最佳方式?
- 12. 什麼是在現有的3D引擎上構建遊戲的最佳方式
- 13. 確保SQL報告正確性的最佳做法是什麼?
- 14. 監控rabbitmq以確保一切正常運行的最佳方式是什麼?
- 15. 保留可繪製引用列表的最佳方法是什麼?
- 16. 構建SMART mySQL和PHP搜索引擎的最佳方式是什麼?
- 17. 將內容從Wordpress導入到表達式引擎的最佳方式
- 18. 執行正則表達式和替換列表的最佳方式是什麼?
- 19. 哪些是關聯一些表的最佳方式?
- 20. 反應 - 什麼是保持文本格式的最佳方式
- 21. 格式化長鏈方法的最佳方式是什麼?
- 22. 什麼是一些OOoBasic最佳實踐?
- 23. 什麼是一些Sharepoint最佳實踐?
- 24. 什麼是查詢的最佳方式?
- 25. 鍵入()的最佳方式是什麼?
- 26. 什麼是開源的最佳方式?
- 27. 「投票」的最佳方式是什麼?
- 28. 確定Object是否被更改的最佳方法是什麼?
- 29. 什麼是存儲這些數據的最佳方式?
- 30. PowerShell解析這些字符串的最佳方式是什麼?
這個問題不太適合Q&A格式,因爲它會導致擴展的討論(這不是一個特定的問題 - 請參閱[FAQ](http://stackoverflow.com/faq))。只是一個模組,如果一個國防部看到它可能會被關閉。 –