2012-11-05 9 views
5

I documenti ufficiali vanno solo per dire mettere il sistema sopra la radice e rinominare admin.php in qualcosa di oscuro - che non è la sicurezza tanto quanto i robot di disagio che altrimenti proverebbero semplicemente a colpire domain.com/admin.php ripetutamente , per esempio. Solitamente ascolto (oggi su Twitter è un esempio) domande su cos'altro si può fare per proteggere expressionengine. Non essendo molto ben informato in questa area io stesso, e quindi per il mio bene e per gli altri, ci sono alcuni guru della sicurezza di #ecec che potrebbero condividere alcuni degli elementi essenziali che tutti dovrebbero prendere in considerazione?Quali sono i modi migliori per proteggere il motore di espressione?

+1

Questa domanda non è particolarmente adatta per il formato di domande e risposte, perché porterà a una discussione estesa (non è un problema specifico - consultare la sezione [Domande frequenti] (http://stackoverflow.com/faq)). Solo un avviso che potrebbe essere chiuso se un mod lo vede. –

risposta

10

È inoltre necessario eseguire il checkout del componente aggiuntivo di Eric Lamb's Securitee (http://devot-ee.com/add-ons/securitee) come un buon passo successivo per la protezione di EE. Fa una miriade di controlli di sicurezza per assicurarti che il tuo sistema sia il più sicuro possibile durante tutta la vita del tuo sito poiché la sicurezza non è qualcosa che viene impostato e dimenticato. Dalla mia esperienza, il danno di solito non proviene da hacker/bot ma da persone con molto accesso al sistema. Ciò include anche i membri a cui viene concesso l'accesso temporaneo ma il loro accesso non viene mai revocato, so che nei sistemi che sono stati aggiunti dopo lo sviluppo ci sono in genere 2-3 super-amministratori creati per gli sviluppatori aggiuntivi per risolvere un problema durante sviluppo. Mentre non sto dicendo che gli sviluppatori aggiuntivi stanno per distruggere il caos sul tuo sito, è solo un'altra possibile falla nella sicurezza che deve essere affrontata.

libretto di Marco è un grande letto come post sul blog di Eric Lamb su Securitee http://mithra62.com/blog/view/why-you-should-care-about-securitee

4

L'installazione di base è abbastanza sicura. Rinominando la cartella di sistema e/o admin.php si toglie il primo chiodo che potrebbero martellare. Un'attenzione particolare dovrebbe essere prestata ai componenti aggiuntivi che potrebbero presentare problemi di sicurezza.

Limitare l'accesso al pannello di controllo solo per gli head-editor e stringere l'accesso solo alle parti a cui dovrebbero avere accesso. Se gli utenti generici devono pubblicare articoli, ciò può essere fatto con l'add-on Safecracker, ma nel suo stato attuale potrebbe davvero fare con un controllo di sicurezza.

8

Mark Huot ha scritto un libretto sulla protezione ExpressionEngine, si può ottenere qui http://mijingo.com/products/ebooklets/securing-expressionengine-2/

lettura consigliata.

+1

Non sono rimasto molto colpito dal libretto di Mark. Sembrava solo che stesse ripetendo quello che i documenti coprono già. Tuttavia, le impostazioni consigliate sono utili, e per 10 dollari, non c'è motivo di non prenderlo. – kgrote

3

Se si dispone di un account lynda.com, check out "Wordpress 3: Developing Secure Sites". Lo so, lo so, Wordpress WTF ?!, giusto? Ma gli argomenti che copre sono rilevanti per qualsiasi CMS basato su DB e copre una gamma di raccomandazioni di davvero. Basta scambiare "plug-in" con "componenti aggiuntivi" ed è tutto un territorio abbastanza familiare.

+0

Fresco. Dò un'occhiata a questo e cercherò di non vomitare leggendo le informazioni del WP. :) Grazie! –