Eğer açık kaynak CMS kurulumları için ek Hangi menkul eklerim?

4 Cevap php

Ben (bu yazının dışında alevleri tutmak için, bunu tarafsızlığını varsayalım) açık kaynak olmaktan mutlaka kapalı kaynak daha bir program daha / daha az güvenli hale gelmez biliyorum. Gerçektir: kaynak kodu açık olduğundan, herkes sizin varsayılan adresler, varsayılan yönetici oturum açma, vb bilir

Benim müşteri bazı projelerde Wordpress ve Joomla kullanıyorum, ve ben her zaman ek güvenlik çeşit oluşturmaya çalışın. Her zaman en son sürümü için dosyaları güncellemek hariç, genellikle bu senaryoda daha fazla güvenlik eklemek için ne yapmalıyım? Düşüncelerimi bazı:

  • Zaman uygulanabilir hep "admin" adını değiştirmek;

  • Ben explicity I istimal hangi teknolojilerin söylemek değil yapmak istiyorum, ama ben CMS (ben yapmalıyım az olduğunu düşünüyorum) tanıtmak istiyorum çünkü saldırganların bilmiyorum ki, ben sadece tam sürümü söyleme Onlar (wordpress otomatik olarak "2.8.4" örneğin diyerek html bir meta etiketi oluşturur) saldırabilir açıklarını tam olarak hangi;

  • Dizinleri doğru izinleri ayarlayın ve ben gün boyunca 775 değişti ve geri çevirmek için unutmuş olabilir dizinlere 755 ayar 0h de her gün çalıştırmak benim sunucu bash komut;

  • Gerektiğinde, ben ips sınırlamak için apache yapılandırma ayarlayın.

Ben başka ne yapmak için çalışmalısınız? Eğer genellikle tesisler için çözümler "kutu dışında" Ne yapmalıyım?

4 Cevap

Süper paranoyak iseniz, bir sanal kurulum için uygulama olması ve bunun üzerinde apache vekil olurdu. Eğer hassas verilerin bir şey var ve / veya gerçekten paranoyak ve / veya daha önce kırılmış olan sürece Ama bu hemen hemen bitti-öldürmek bulunuyor.

Uygulama izin veriyorsa, o yönetici yolunu değiştirmesini de genellikle iyi bir fikir değildir. Örneğin, oldukça kolay bir (Örneğin benim-Admin / gibi) tamamen başka bir şey için / wp-admin den Wordpresses varsayılan yönetici değiştirmek için arama değiştirin. Bu da her zaman mümkün değildir.

Sen de iyice uygulamada kendini de ayarlanabilir herhangi bir kullanıcı rolleri ve izinleri kontrol etmek isteyeceksiniz. Örneğin, Drupal oldukça sağlam kullanıcı erişim sistemine sahiptir. Ama emin değiller herhangi bir kullanıcı erişimi vermeyin yapmak gerekir

Diğer şeyler devre dışı bırakma, ya da, sistemin çalışması için gerekli% 100 değildir herhangi bir modül / eklentiler / eklentileri silme bulunmaktadır. Şahsen hiç kimse uzaktan sunucuya bağlanabilirsiniz emin olmak için tüm MySQL kullanıcı denetimi. Kur (tabii kök hariç) sunucusundaki tüm kullanıcılar için chroot hapse de yapabilirsiniz böylece onlar bir dizine kilitli konum ve bunun dışında alınamıyor.

Wordpress.org kodeksine de Hardening Wordpress ve Hardening Wordpress with htaccess bakın.

Wordpress, bu koymak

function remove_header_info() {

remove_action('wp_head', 'wp_generator');
}

add_action('init', 'remove_header_info');

temanın functions.php dosyasına header.php wp_head ile olmaktan çıktı WP sürümü kaldırmak için.

Joomla, ben jos_ farklı bir şey için veritabanı öneki değiştirmek istiyorsunuz.

Ben Wordpress hakkında bilgiler ekleyebilirsiniz iki ilginç bağlantılar buldum.

Bu ilki her zaman tüm güvenlik düzeltmelerini ile güncel kurulum tutmak gerektiğini söyleyerek, Wordpress blog itself değil.

İkincisi, bir great list Gerçekten iyi yazılmış ve ilginç öneriler bir sürü olduğuna inanıyorum (yapılandırmasından pugins için) adımları bir sürü (iki bölüme ayrılır ediyor) olduğunu.

etiketler