首先,如果您担心安全问题,那么您应该使用LAMP。只要Linux平台使用了AppArmor或SELinux(分别是Ubuntu和Fedora),那么您比任何版本的Windows都要好得多。我从开发两个平台的漏洞代码的第一手经验中知道这一点。
在锁定系统之前,请使用Wapiti测试您的代码是否存在漏洞。Acunetix也不错,但价格昂贵。这种类型的测试,特别是SQL注入测试,必须在php.ini中设置dispaly_errors=On。
PHP配置可能出现很多问题,使您的系统不够安全。您应该运行PHPSecInfo并删除所有红色内容。dispaly_errors=Off是您想要的,而phpsecinfo会对其进行测试。
你还应该使用像Mod_secuirty这样的Web应用程序防火墙。
这实际上是一个相当庞大的工作,但经验值得。以下只是一两个建议...
网站安全也意味着深度参与管理你有时稀缺的资源。同样重要的是遵守主机设定的任何限制,并猜测你的站点用户可能会超越这些限制的所有可能方式,使你负责支付高昂的费用。例如:反复下载或上传大文件、向电子邮件列表发送垃圾邮件、反复请求页面使用过多的数据库连接和查询等。在开始之前,从你的主机获取超额使用限制和费用的书面记录,并准备好响应计划。实际上,这部分就像购买手机服务。
很多取决于你的站点将拥有哪些功能。文件上传?论坛?登录?电子邮件?等等?例如 - 如果你运行一个文件共享站点:除了进行上传/下载速率限制外,建议先检查可用磁盘空间,然后允许上传任何文件,或者进行定期审核,以便准备归档或删除旧的和未使用的文件。这是一个快速的检查,只是为了确保一年后你不会被突然出现的磁盘已满错误所困扰,或因为主机给你开出一张大账单而受到损失。
实际上,还有数百个问题需要考虑。收集您网站所有功能和特性的完整概述清单,并逐一进行谷歌搜索以获取更多有关处理安全性的想法。您的主机应该也会发布他们自己的安全注意事项,并提供一个方便操作其所有服务的手册。如果他们没有这样做,那么我个人不会感到舒适。
