在高风险网站上使用CMS有什么坏处吗？

Question

我正在帮助客户端开发他们的网站(它是用Dreamweaver模板和大量四层嵌套的表格元素手工编写的。我想让他们从使用Dreamweaver写东西中解脱出来。

我正在考虑使用Wordpress或类似的CMS来完成这项工作，因为Wordpress是干净的，快速的，并且非常容易设计。我已经做过几次了，它几乎就像编写纯HTML一样简单。

我主要担心的是，该网站之前曾被黑客入侵过几次，尽管它是纯HTML，没有任何服务器端代码。我可以为他们安装一个手动Linux服务器，因为他们使用的托管公司是我从未听说过的。

网站所有者在技术上是完全受损的，所以我不想通过向他们展示一个具有大量功能的动态CMS来吓跑他们，因为他们认为纯HTML非常安全，他们必须想方设法使用它。

我知道这是大量的写作，但是对于这样的设置(硬编码或动态生成内容)来说，最合适的CMS是什么呢？我不想让这个人继续手工编写不符合标准的四层嵌套表布局，但我不想让他们的网站被黑.

谢谢!

Answer 1

一个允许本地编辑和只上传静态HTML文件的解决方案将是最安全的方法。如果这是一个高风险的网站，我会考虑留在这条轨道上。

如果一个只包含静态HTML的站点被黑客入侵，那么很可能是通过web服务器甚至操作系统级别的一些问题--我不知道有任何关于静态HTML资源的漏洞。当涉及动态语言时，通常会出现问题。

不管你做什么，都不要用Wordpress。它必然会因为它的流行而成为攻击和利用的对象。

Answer 2

如果站点是纯HTML，则不安全存在于服务器或服务器与客户端之间的连接中。

在对站点进行更改之前，我会研究如何使服务器更加安全，尽管两者都是一个好主意。CMS就像WordPress一样，使用MySQL数据库来存储帖子等等，这意味着客户端->服务器连接。使数据传输更加安全的一种方法是使用https://而不是普通的http://。如果需要，可以使用.htaccess文件重定向。

总之，我会查看服务器端的任何漏洞。

詹姆斯

Answer 3

Wordpress已经成为一个非常棒的CMS。如果网站是高风险的，你可能想回避它，但我还没有一个网站，我认为是太高风险可湿性粉剂本人。该网站应该跟上定期更新和定期备份，并有一些安全提示，您可以遵循，以帮助保持它更安全，减少目标。

第一。在前端隐藏WP

将此添加到您的functions.php中：

remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');

这将删除默认的标题信息，可以通过脚本搜索。

将wp安装在一个目录中，该目录将帮助模糊其位置并模糊管理URL。

将wp内容文件夹的名称更改为其他内容，并将其移出主wp目录。例如，您可以将其命名为“include”，并将其放入根文件夹。然后，指向模板文件的链接将不包含wp内容。

最重要的是，使用安全的主机，锁定文件(特别是共享主机)，您可以查看类似于vaultpress的内容，但是如果您使用一个可靠的备份插件和一个好的主机，这似乎是不必要的。您也可以查看一些安全审计插件，但不要在收到反馈后继续运行。

wp-config.php文件中的这段代码将帮助安装在目录中，并将wp-内容移至“包含”文件夹中：

define('WP_HOME',        'http://domain.com');
define('WP_SITEURL',     WP_HOME .'/admin');
define('WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT'].'/includes');
define('WP_CONTENT_URL', WP_HOME .'/includes');