Пользователям⚓︎
При запуске Grav, с установленной панелью администратора или без нее, следует помнить о некоторых передовых методах. Они касаются того, кто может получить доступ к чему на вашем веб-сайте, а также потенциальных рисков, связанных с отсутствием ограничения факторов риска в этом отношении.
Пользователи Grav и панель админки⚓︎
При создании пользователей, которые будут иметь доступ к панели администратора, вы должны сначала подумать, к чему они будут иметь доступ. плагин админки предлагает надежные разрешения, которые должны быть установлены для ограничения того, что новые пользователи могут делать с сайтом. Если у вас много пользователей, и некоторые из них будут писать только контент для сайта, им обычно требуется только разрешение admin.pages
, а также обычные разрешения, такие как admin.login
.
Кроме того, всегда рекомендуется, чтобы у ваших пользователей не был только один пароль, который они используют везде. Если кто-то украл их пароль, они могли бы войти в систему где угодно. Хороший пароль — это надежный пароль, но даже длинное предложение со словами из словаря легче взломать, чем пароль, состоящий из случайных символов, букв и цифр. У любого человека возникнут проблемы с запоминанием длинного случайного пароля хотя — а тем более нескольких — поэтому передовой опыт — использовать менеджер паролей и никогда не использовать один и тот же пароль дважды. Многим людям также нравится, чтобы их браузер запомнил пароли для каждого сайта и запомнил только один надежный пароль, чтобы разблокировать их. Чтобы сгенерировать случайный пароль, вам нужно только открыть Блокнот и яростно нажимать случайные клавиши на клавиатуре.
Попросите пользователей использовать случайные пароли и создать один надежный длинный пароль, который они будут помнить. Иногда этот длинный пароль также следует изменить. И поскольку это есть в подключаемом модуле администратора, они всегда должны использовать 2-факторную аутентификацию. Чтобы предотвратить атаки методом грубой силы на панель администратора, администратор также должен включить Flood Protection.
Пользователи сервера и веб-мастер⚓︎
Веб-мастер — это лицо, ответственное за обслуживание веб-сайта и обычно имеющее к нему доступ на уровне сервера. Этот человек, конечно же, должен защитить сервер, но также убедиться, что он или она — и любой другой, имеющий доступ к серверу — получает доступ только к серверу, безопасным способом. Это означает, что ни при каких обстоятельствах нельзя использовать FTP-протокол, только SFTP с фразово-защищенными парами ключей. Хост сервера обычно имеет информацию об отключении обычного FTP и доступе к серверу через SFTP, создание пар ключей хорошо документировано.
В более широком смысле, подумайте, нужен ли какой-либо другой пользователю доступ к серверу. Каждый дополнительный пользователь, имеющий доступ, представляет собой потенциальный риск не только из-за их собственного поведения, но и из-за опасности того, что в случае кражи их ключей или паролей другие могут получить доступ к серверу напрямую. Точно так же ни один пользователь не должен иметь root-доступ к серверу, а системный пользователь, запускающий PHP для Grav, должен быть отдельным пользователем, доступ к которому имеет только система.
Учитывая, насколько важен сервер для вашего веб-сайта или сервиса, забота о его защите и его содержимом должна иметь первостепенное значение.