官方文档只是简单地建议将系统置于根目录之上,并将admin.php重命名为某些晦涩的名称 - 这不仅仅是安全问题,而且还会使那些试图反复访问domain.com/admin.php的机器人感到不便。我经常听到一些关于如何进一步保护ExpressionEngine安全性的问题(比如今天在Twitter上听到的)。由于我对这个领域并不是很了解,所以为了我的利益和其他人的利益,是否有一些#eecms安全专家能够分享一些每个人都应该考虑采取的基本措施呢?
你还应该尝试使用Eric Lamb的Securitee(http://devot-ee.com/add-ons/securitee)插件来进一步保护EE。它会执行大量安全检查,以确保在整个网站生命周期中系统尽可能地安全,因为安全不是一次性设置就可以忘记的东西。从我的经验来看,伤害通常并不来自黑客/机器人,而是来自拥有过多系统访问权限的人员。这也包括被授予临时访问权但其访问权限从未被撤销的成员,我知道在开发完成后加入系统的情况下,通常会创建2-3个超级管理员以便于add-on开发人员解决问题。虽然我并不是说add-on开发人员会对您的网站造成破坏,但这只是另一个需要解决的潜在安全漏洞。
马克的小册子很好读,Eric Lamb关于Securitee的博客文章也很不错:http://mithra62.com/blog/view/why-you-should-care-about-securitee