最近我一直在考虑在网站上设置管理区域的最安全的方法。我正在玩的两个选项是:在PHP中设置管理区域的最安全方法是什么?
我意识到,如果我设置了与站点分开的管理区域,这将需要用户在他们甚至可以尝试进入之前发现管理面板在那里。这增加了多少安全性?
然而,迫使他们与电子邮件地址登记在主站点领带就是他们的帐户,我会想帮助安全一点点的电子邮件地址?但是将管理区域放在主站点上会更容易破解,因为所有用户需要做的就是在系统中找到一个错误?
我想我可以看到两者的积极和消极。
我的经验法则是这样的(主要):
登录后,请管理员在网站的设计做的东西,或者是他们在一些完全不同的“设计”(最喜欢的CMS的后端)。如果他们留在同一个设计中(AND站点有可能为用户注册),那么仅在主站点上创建管理员级帐户才有意义。
如果没有选项用户注册,具有后端在类似/admin/和收工。
此外,作为“被破解”依赖于数以百万计的因素,管理员登录的位置恕我直言,不是的一个......好重要。
您还可以强制他们使用单独的管理网站用的电子邮件地址存在的主要网站上。事实上,两者都有。在他们的主账户上添加一个标志,标明“确定,这是一个管理员”。这样,您就可以显示指向管理工具的mainsite的iframe,任何连接上,管理工具就必须有这个标志设置
最后,不要忘了单点登录;在连接到任何网站,创建两个Cookie,这样他们不会在这两个地方进行验证(除非他们有通过设计)
Definetely最好是从主站点保持独立的管理部分。
第一个原因是你说的:用户必须先发现它在哪里。
你可以做的另一件事是授予访问您的管理文件夹,例如使用.htaccess,只对某些IP地址。
我意识到,如果我设置与站点分开的管理区域,这将需要用户在他们甚至可以尝试进入之前发现管理面板在那里。这增加了多少安全性?
这就是你所说的“默默无闻的安全性”。一般来说,它只会阻止黑客的不太持久性。对于那些有意盗用你的网站的人来说,这只会使他们的成功暂时延迟。但是,如果置于一个本来已经安全的系统之上,隐藏仍然有用。使用它来保持平均最终用户看到他们不需要或不需要看到的东西。
通过选择“必须由其他管理员设置”选项,您将增加安全密码的机会。更好的是,为管理员自己生成强大的密码,不要让他们选择自己的密码。
正如Greg W指出的那样,默默无闻价值不菲,但在已经安全的设置之上使用起来很方便。我不认为将管理区域与其他任何东西区分开来会使它本身或多或少地变得安全 - 如果您在管理区域中存在不安全的代码,那么您将面临任何风险。
对于一般的安全建议,我会建议克里斯·夏夫利特的网站:http://shiflett.org/articles
强制管理员更新任何数据之前,输入自己的密码 - 不依赖于现有的会话证书。 PHP Session Security
使用沙箱..创建不可见的诱饵管理区指向任何地方像/管理/管理/管理员将招待你的黑客很长一段时间。
此外,请尝试保留公用文件夹(public_html,www)以外的真实admin文件夹。
这些做法对我有用。
是的,我已阅读他的书。我爱它!从中得到很多。 – Metropolis 2010-10-01 14:56:26