<分区> 分区>
我知道开源并不一定会使程序比封闭源更安全/更不安全(让我们假设这种中立性,以免在这篇文章中引起争议)。事实是:由于源代码是开放的,每个人都知道您的默认 url、默认管理员登录等。
我在我客户的一些项目中使用 Wordpress 和 Joomla,我总是尝试创建某种额外的安全性。除了总是将文件更新到最新版本之外,在这种情况下您通常会做什么来增加安全性?我的一些想法:
我总是在适用时更改“admin”名称;
我不想明确说明我正在使用哪些技术,但由于我想推广 cms(我认为这是我应该做的最低限度),所以我只是不说确切的版本因此攻击者不知道他们可以攻击哪些确切的漏洞(wordpress 自动在 html 中创建一个元标记,例如“Wordpress 2.8.4”);
在目录中设置正确的权限,并在我的服务器中每天在 0h 运行的 bash 脚本将目录设置为 755 我可能在白天更改为 775 而忘记返回;
适用时,我将 apache 配置设置为限制 ips。
我还应该尝试做什么?您通常对安装采取哪些“开箱即用”的解决方案?