在PHP中使用安全事实开源CMS！

Question

我有Joomla，Drupal，wordpress和small cms配置的经验。但我的一个客户正在询问上述cms中的安全级别。我从来没有考虑过安全风险，这对我来说真的是非常新鲜。在考虑安全级别和最低风险时，我可以选择哪种CMS是最好的CMS？我们可以为服务器提供什么样的安全性才能使应用程序高度安全呢？

Answer 1

你提到的所有大型CMS产品都应该没问题。看看还有谁在使用它们；这是判断产品到底有多好的一个很好的方法。例如，白宫使用Drupal。这个事实给了我对Drupal很大的信心。

重要的是要确保您与任何已发布的安全修复保持最新。

所有这些产品中的绝大多数安全问题都来自您可能安装的非核心模块。如果您真的担心安全性，我建议您将使用的模块数量保持在绝对最小。

在你确实需要使用外部模块的地方，做彻底的调查，以找出它有多好:它多久更新一次？它有没有任何已知的bug，可能是安全问题？它的使用有多广泛？正如我上面提到的核心CMS，谁在使用它？

您还应该确保您的web服务器是安全的。不只是你的CMS会为黑客提供路由。关闭所有不必要的端口和服务。确保所有可能的内容都被加密(使用SFTP，绝对不要使用FTP)。如果您使用的是基于PHP的内容管理系统，比如Drupal，请使用安全增强的PHP版本(Suhosin)，而不是基本版本。

最后，你应该接受这一点，无论你的软件有多好，不管你有多警惕，你仍然可能被黑客入侵。更糟糕的是，你甚至可能在不知情的情况下被黑客入侵。即使是最好的软件也有可能被利用的缺陷。出于这个原因，在任何人都可以访问任何真正敏感的数据之前，您应该致力于拥有多层安全性。