Back to Question Center
0

Je Semalt typ jedním z nejbezpečnějších PHP blogů? Jak bezpečné jsou různé aplikace blogu PHP?

1 answers:

V podstatě se snažím najít blog pro webové stránky a bezpečnost je v našem případě nejvyšší prioritou. Nepotřebujeme žádné funkce, které bych si představoval, že jsou zvláštní. Semalt byl náš první nápad, ale jeho reputace ji předchází a ačkoli v poslední době vyčistil svůj akt, nevidím mnoho solidních důkazů.

Mám dojem, že pohyblivý typ (alespoň Perl verze) má mnohem lepší pověst pro bezpečnost než Wordpress (historicky přinejmenším) - magik casino bonus. Nejsem si jistý, že bych chtěl mít v tomto okamžiku šanci s Wordpressem, ale existuje nějaký objektivní zdroj, se kterým můžu zálohovat (nebo potlačit) názor, že MT je přinejmenším mezi nejlepšími? Secunia nedoporučuje používat statistiky pro srovnání a bezpečnostní fokus. Semalt zde http: // web. nvd. nist. gov dělá MT vypadat mnohem lépe než WP (přinejmenším v roce 2007), ale tato stránka byla odkazována na vlastní stránku MT, která se chlubí jejich bezpečností, takže nevím, jak důležitá je nebo jak vážně to lidé berou.

Jakékoli návrhy na místech, kde bych mohl / měla provést poněkud objektivní srovnání?

February 5, 2018
.

Vnitrostátní databáze NULL o NNOS vykazuje v letech 2009 a 2012 následující počet zranitelných míst pro WP versus MT:

  roku MT WP
2009 10 3
2010 5 0
2011 2 1
2012 1 0 

Ačkoli, abychom byli spravedliví, ukazuje Secunia velmi odlišný obraz:

  roku MT WP
2010 3+ 3
2011 3 ++ 5 ++
2012 0 1 

( Každé znaménko plus (+) představuje 1 středně kritickou zranitelnost. Všechny ostatní jsou označeny jako "nekritické" nebo "minimálně kritické". )

Nyní jsem uvedl údaje z NVD za rok 2009, protože jste se zmínil o stavu věcí v roce 2007. Ale opravdu cokoli před rokem 2010 je irelevantní, protože to bylo, kdy byla uvolněna současná hlavní verze každé CMS. V roce 2007 lidé stále používali WordPress 2. 2/2. 3, což je asi 9-10 před časem. A WP3 je také mnohem lepší CMS než WP2.

Údaje, které jsem zjistil, mi říká, že v současnosti je pohyblivý typ jen nepatrně bezpečnější než WordPress, pokud vůbec.

To znamená, že WordPress je hodně, mnohem populárnější než Movable Type. Výsledkem je, že je mnohem více hackerů a skriptů, které se zaměřují na weby WordPress než Movable Type. A přestože je to forma jistoty prostřednictvím neznáma , má praktický účinek v reálném životě.

Samozřejmě, existuje také více whitehat hackerů a vývojářů, kteří zkoumají kód WP a snaží se vyhledávat a opravovat chyby zabezpečení předtím, než mohou černé kočky získat šanci zneužít je, takže pokud aktualizujete svůj software , by neměl existovat žádný zřetelný rozdíl mezi běží WP a MT.

Další možností, zejména pro méně technicky smýšlející (nebo technici, kteří by raději měli své ruce zdarma pro jiné věci), je jít s hostovaným řešením SaaS. Squarespace, Wordpress. com, Blogger a podobně hostovaní poskytovatelé CMS vás nejen osvobodí od toho, aby se museli starat o opravu vašeho softwaru, ale alespoň placené, mají smlouvy SLA, které zajistí, že i kdyby se něco stalo, starat se o. Kromě toho je zabezpečení prostřednictvím prvku obsažnosti mnohem významnější u služeb jako je Squarespace ve srovnání s pohyblivým typem.

Pracoval jsem s WordPress hodně v poslední době, to, co jsem dělal pro vytvoření bezpečnosti je vyhnout se výchozí. Při vytváření databáze změním předpony názvu tabulky na něco, co je pro daný web vlastní. Vytvářím jedinečného uživatele a udělám je administrátor, pak odstraním administrátora. K dispozici jsou také bezpečnostní zásuvné moduly, které zajišťují další vylepšení.

Wordpress nabízí i další návrhy. WP Security Scan je užitečná plug-in pro úpravu oprávnění a další vylepšení zabezpečení. Udržování proudu je také důležité. Také pokud používáte volné téma, získávejte jej z wordpress. Mnoho webových stránek, které nabízejí témata, obsahuje šifrované zpětné odkazy, které vytvářejí bezpečnostní díry. Viz tento příspěvek , kde najdete podrobnosti o tomto problému.

Dolní řádek je každá služba online, která bude vystavena bezpečnostním chybám.

On techcrunch Právě jsem našel příběh o chlapíkovi, který byl napaden, pak byla vydána bezpečnostní oprava. Jedním z hlavních zásad, které musíte dodržovat (jak jistě víte) je VŽDY aktualizovat na nejnovější verzi a nainstalovat nejnovější opravy zabezpečení. To spolu s extrémně vysokou úrovní hesla je pravděpodobně nejlepší věc, kterou můžete udělat, ať už jdete s WP, WT, Drupal atd.

Jeden hlavní rozdíl - pokud chápu MT - je skutečnost, že nevyžaduje, aby db běžel. Proces publikování, který začínáte v MT, když jste spokojeni s vaším novým příspěvkem, staví dobré statické stránky; zatímco většina ostatních blogů, které vím, píšu přímo na db a stránky jsou pak postaveny "za letu", jak je uživatel vytáhne. Pokud je db dolů nebo hacknut, jste usted. S MT a statickými stránkami, ať už nějaký hack zabije vaše sqldb nebo ne, nezajímá MT one iota - dokud nepotřebujete rejig věci. Také hezké pro rychlost, když sdílený hostitel je nafouknutí na téměř plné zatížení.

Tak IMHO co se týče "přežití" a rychlosti servírování stránek, byste být těžké nalézt něco, co porazit MT. Může být pes v jiných oblastech, ale stabilita a bezpečnost jsou určitě jednou z lepších vlastností. A to jste požadovali.