我对PHP的安全logging和项目处理安全性的方式深表反感。 不幸的是,我必须部署一个CMS,我需要一个现代的主题。 到目前为止,我已经看到几乎无处不在,但总是归结为基于PHP的CMS,因为这是大众正在使用和devise师正在devise的。 🙁
现在我已经解决了Drupal这是一个妥善维护的项目,并处理安全漏洞的典范。 但是一般来说还是有公开部署php的苦味。
到目前为止,我所做的是:
我主要关心的是PHP,诚实。 我还能做些什么来保护主机? 对于那些对Drupal和PHP有更多经验的人(自己是一个C ++开发人员),PHP在一个只部署一个已知包,没有用户PHP脚本或类似的系统的系统上会带来多大的安全风险?
即使听起来像这样,我不是Linux或服务器的新手。 🙂 PHP是不是我主要的游戏区域,由于其反复和持续的坏消息,我对网页开发缺乏兴趣…
或者,我真的很喜欢使用依赖于Perl,Python甚至Ruby的CMS。 所以,如果有人知道一个好的CMS系统,有很好的付费主题可用,支持灵活的布局以及博客引擎,并且还支持PostgreSQL(我select的数据库),我会全力以赴的…
感谢您花时间阅读这个有点奇怪的post。 🙂
更新:我忘记提到,不言而喻,我妥善维护我的服务器,有一个限制性的防火墙,做最好的人可以做这些天。
你提到你有一个有限的防火墙 – 不要忘了你可以阻止通过UID传出的连接。
如果您使用自己的用户标识运行PHP,则可以(&should!)否认用户输出HTTP / HTTPS连接,除非您需要允许更新检查或RSS提要提取。 这将防止任何被利用的代码能够下载rootkit。
我有点困惑你的问题,但我确实认识到你的问题。 什么是模板build设,可能Wordpress(即使你最初没有计划为CMS),而不是Drupal是许多devise师的最佳select。
我一直在运行虚拟服务器,只安装wordpress,只要你经常更新软件包,应该有任何重大的错误。 除了尝试cachingcookie的尝试之外,我还看到有什么令人不安的地方。
这也是我的问题是PHP的普遍脆弱性以及用户利用安全整体的数量,这也是不能跳入stream行的Java Web开发世界的原因。 我的解决scheme是使用Python Web框架 ,特别是Django项目 。 我主要关注的是Web服务,应用程序或网站的前端,所有的Django都在后端工作。 一旦你有一个html / cssdevise的模板,devise一个模板是非常简单的,这似乎是你正在寻找的。
希望给你一些关于CMS的可能性的一些替代观点,并回答你的问题。