最近我一直在考慮在網站上設置管理區域的最安全的方法。我正在玩的兩個選項是:在PHP中設置管理區域的最安全方法是什麼?
我意識到,如果我設置了與站點分開的管理區域,這將需要用戶在他們甚至可以嘗試進入之前發現管理面板在那裏。這增加了多少安全性?
然而,迫使他們與電子郵件地址登記在主站點領帶就是他們的帳戶,我會想幫助安全一點點的電子郵件地址?但是將管理區域放在主站點上會更容易破解,因爲所有用戶需要做的就是在系統中找到一個錯誤?
我想我可以看到兩者的積極和消極。
我的經驗法則是這樣的(主要):
登錄後,請管理員在網站的設計做的東西,或者是他們在一些完全不同的「設計」(最喜歡的CMS的後端)。如果他們留在同一個設計中(AND站點有可能爲用戶註冊),那麼僅在主站點上創建管理員級帳戶纔有意義。
如果沒有選項用戶註冊,具有後端在類似/admin/和收工。
此外,作爲「被破解」依賴於數以百萬計的因素,管理員登錄的位置恕我直言,不是的一個......好重要。
您還可以強制他們使用單獨的管理網站用的電子郵件地址存在的主要網站上。事實上,兩者都有。在他們的主賬戶上添加一個標誌,標明「確定,這是一個管理員」。這樣,您就可以顯示指向管理工具的mainsite的iframe,任何連接上,管理工具就必須有這個標誌設置
最後,不要忘了單點登錄;在連接到任何網站,創建兩個Cookie,這樣他們不會在這兩個地方進行驗證(除非他們有通過設計)
Definetely最好是從主站點保持獨立的管理部分。
第一個原因是你說的:用戶必須先發現它在哪裏。
你可以做的另一件事是授予訪問您的管理文件夾,例如使用.htaccess,只對某些IP地址。
我意識到,如果我設置與站點分開的管理區域,這將需要用戶在他們甚至可以嘗試進入之前發現管理面板在那裏。這增加了多少安全性?
這就是你所說的「默默無聞的安全性」。一般來說,它只會阻止黑客的不太持久性。對於那些有意盜用你的網站的人來說,這隻會使他們的成功暫時延遲。但是,如果置於一個本來已經安全的系統之上,隱藏仍然有用。使用它來保持平均最終用戶看到他們不需要或不需要看到的東西。
通過選擇「必須由其他管理員設置」選項,您將增加安全密碼的機會。更好的是,爲管理員自己生成強大的密碼,不要讓他們選擇自己的密碼。
正如Greg W指出的那樣,默默無聞價值不菲,但在已經安全的設置之上使用起來很方便。我不認爲將管理區域與其他任何東西區分開來會使它本身或多或少地變得安全 - 如果您在管理區域中存在不安全的代碼,那麼您將面臨任何風險。
對於一般的安全建議,我會建議克里斯·夏夫利特的網站:http://shiflett.org/articles
強制管理員更新任何數據之前,輸入自己的密碼 - 不依賴於現有的會話證書。 PHP Session Security
使用沙箱..創建不可見的誘餌管理區指向任何地方像/管理/管理/管理員將招待你的黑客很長一段時間。
此外,請嘗試保留公用文件夾(public_html,www)以外的真實admin文件夾。
這些做法對我有用。
是的,我已閱讀他的書。我愛它!從中得到很多。 – Metropolis 2010-10-01 14:56:26