PHP 中的开源 CMS 与安全事实！

Question

我对 Joomla、Drupal、wordpress 和小型 cms 配置有经验。但我的一位客户询问上述 cms 的安全级别。我从来没有考虑过安全风险，这对我来说真的很新。在考虑安全级别和最小风险时，我可以在什么基础上选择最好的 CMS？我们可以为服务器提供什么样的安全性来使应用程序高度安全？

Answer 1

你提到的所有大型CMS产品都应该没问题。看看还有谁在使用它们；这是判断产品到底有多好的好方法。例如，白宫使用Drupal。这个事实让我对 Drupal 充满了信心。

重要的是确保您及时了解已发布的所有安全修复程序。

所有这些产品中的绝大多数安全问题都来自您可能安装的非核心模块。如果您确实担心安全性，我建议将您使用的模块数量保持在绝对最低限度。

在您确实需要使用外部模块的地方，请进行彻底的调查以了解它的效果如何：它多久更新一次？是否存在可能导致安全问题的已知错误？它的使用有多广泛？正如我上面提到的核心 CMS，谁在使用它？

您还应该确保您的网络服务器是安全的。不仅仅是您的 CMS 会为黑客提供入侵途径。关闭所有不需要的端口和服务。确保所有可能的内容都已加密（使用 SFTP，绝对不是 FTP）。如果您使用基于 PHP 的 CMS（例如 Drupal），请使用安全强化的 PHP 版本 (Suhosin) 而不是基本版本。

最后，您应该接受这样的事实：无论您的软件有多好，无论您多么警惕，您仍然可能会遭到黑客攻击。更糟糕的是，您甚至可能在不知情的情况下遭到黑客攻击。即使是最好的软件也有可以被利用的缺陷。因此，在任何人都可以访问任何真正敏感的数据之前，您应该努力实现多层安全保护。