关闭。这个问题是off-topic .它目前不接受答案。
想改进这个问题? Update the question所以它是on-topic对于堆栈溢出。
10年前关闭。
Improve this question
我想知道人们认为保护网站管理部分的最佳做法,特别是从身份验证/访问的角度来看。
当然,有一些显而易见的事情,例如使用 SSL 和记录所有访问,但我想知道在这些基本步骤之上人们认为应该设置什么标准。
例如:
到目前为止,回答者的建议包括:
[乔极客]
最佳答案
如果网站需要登录以进行常规事件和管理员,例如一个论坛,我会使用使用相同用户数据库的单独登录名。这确保了 XSRF 和 session 窃取不会允许攻击者访问管理区域。
此外,如果 admin 部分位于单独的子目录中,则使用 Web 服务器的身份验证(例如 Apache 中的 .htaccess)保护该部分可能是一个好主意 - 那么有人需要该密码和用户密码。
隐藏管理路径几乎不会带来任何安全 yield - 如果有人知道有效的登录数据,他很可能还能够找到管理工具的路径,因为他要么通过网络钓鱼或键盘登录,要么通过社会工程获得它(这可能会揭示路径,也是)。
暴力保护,例如在 3 次登录失败后阻止用户的 IP 或在登录失败后要求验证码(不适用于第一次登录,因为这对合法用户来说非常烦人)也可能有用。
关于security - 保护网站管理部分的最佳做法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2848134/