保护ExpressionEngine的最佳方法有哪些？

Question

保护ExpressionEngine的最佳方法有哪些？

5

官方文档只是简单地建议将系统置于根目录之上，并将admin.php重命名为某些晦涩的名称 - 这不仅仅是安全问题，而且还会使那些试图反复访问domain.com/admin.php的机器人感到不便。我经常听到一些关于如何进一步保护ExpressionEngine安全性的问题（比如今天在Twitter上听到的）。由于我对这个领域并不是很了解，所以为了我的利益和其他人的利益，是否有一些#eecms安全专家能够分享一些每个人都应该考虑采取的基本措施呢？

- Jean St-Amand

1

这个问题并不适合问答格式，因为它会导致长时间的讨论（它不是一个具体的问题 - 请参阅FAQ）。只是提醒一下，如果管理员看到它，它可能会被关闭。 - Adrian Macneil

4个回答

8

马克·胡特（Mark Huot）撰写了一本有关保护ExpressionEngine的小册子，您可以在这里获得：http://mijingo.com/products/ebooklets/securing-expressionengine-2/。建议阅读。

- erwinheiser

1

我对马克的小册子并不是很印象深刻。它似乎只是在重申文档已经涵盖的内容。尽管如此，推荐的设置还是很有帮助的，而且只要10美元，没有理由不去购买。 - kmgdev

4

基本安装是相当安全的。重命名系统文件夹和/或admin.php可以防止攻击者入侵。需要特别注意的是，一些可能存在安全漏洞的附加组件。

只允许超级管理员访问控制面板，并且仅限于他们需要访问的部分。如果普通用户需要发布文章，可以使用safecracker插件，但在当前状态下确实需要进行安全检查。

- GDmac

3

如果您有lynda.com帐户，请查看“WordPress 3：开发安全站点”。我知道，我知道，“WTF WordPress？！”对吧？但他涵盖的主题与任何基于DB的CMS相关，并且他涵盖了非常广泛的建议范围。只需将“插件”替换为“附加组件”，这就是所有相当熟悉的领域。

- kmgdev

好的，我会看一下并尽量不在阅读 WP 信息时感到恶心。 :) 谢谢！ - Jean St-Amand

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Justin Long · Accepted Answer

你还应该尝试使用Eric Lamb的Securitee（http://devot-ee.com/add-ons/securitee）插件来进一步保护EE。它会执行大量安全检查，以确保在整个网站生命周期中系统尽可能地安全，因为安全不是一次性设置就可以忘记的东西。从我的经验来看，伤害通常并不来自黑客/机器人，而是来自拥有过多系统访问权限的人员。这也包括被授予临时访问权但其访问权限从未被撤销的成员，我知道在开发完成后加入系统的情况下，通常会创建2-3个超级管理员以便于add-on开发人员解决问题。虽然我并不是说add-on开发人员会对您的网站造成破坏，但这只是另一个需要解决的潜在安全漏洞。

马克的小册子很好读，Eric Lamb关于Securitee的博客文章也很不错：http://mithra62.com/blog/view/why-you-should-care-about-securitee