Назад | Перейти на главную страницу

безопасность php в системе только с известным программным обеспечением php (или: нужна альтернативная CMS, отличная от PHP)

Я испытываю глубокую антипатию к PHP из-за его показателей безопасности и того, как проект обеспечивает безопасность в целом. К сожалению, мне нужно развернуть CMS, и мне нужна современная тема для нее. До сих пор я искал почти везде, но всегда сводился к CMS на основе PHP, потому что это то, что используют массы и для чего проектируют дизайнеры. :(

Теперь я остановился на Drupal, который является должным образом поддерживаемым проектом и образцово обрабатывает недостатки безопасности. Но все же есть горький привкус публичного развертывания php в целом.

Пока что я сделал:

Честно говоря, меня больше всего беспокоит PHP. Что еще я могу сделать для защиты хост-машины? А для тех, кто имеет больший опыт работы с Drupal и PHP (я сам являюсь разработчиком C ++), какой риск безопасности действительно представляет PHP для системы, которая развертывает только один известный пакет и не использует пользовательские сценарии PHP или что-то подобное?

Даже если это может звучать так, я не новичок в Linux или серверах. :) PHP - это просто не моя основная область игры из-за его повторяющихся и постоянных плохих отзывов в прессе и моего отсутствия интереса к веб-разработке ...

В качестве альтернативы я бы очень хотел использовать CMS, основанную на Perl, Python или даже Ruby. Так что, если кто-то знает хорошую систему CMS, в которой доступны хорошие платные темы, поддерживает гибкий макет вместе с движком блога, а также поддерживает PostgreSQL (db на мой выбор), я бы все уши ...

Спасибо, что нашли время прочитать это несколько странное сообщение. :-)

ОБНОВИТЬ: Я забыл упомянуть, что само собой разумеется, что я должным образом обслуживаю свой сервер, устанавливаю ограничительный брандмауэр и делаю все возможное в наши дни.

Вы упомянули, что у вас установлен ограниченный брандмауэр - не забывайте, что вы можете блокировать исходящие соединения по UID.

Если вы используете PHP под собственным идентификатором пользователя, вы можете (и должны!) Запретить этому пользователю исходящие HTTP / HTTPS-соединения, если только вам не нужно разрешить проверку обновлений или получение RSS-канала. Это предотвратит загрузку руткита из любого эксплуатируемого кода.

Я немного запутался в вашем вопросе, но на собственном опыте признаю вашу проблему. Что касается создания шаблонов, то, вероятно, Wordpress (даже если вы изначально не задумывались как CMS) вместо Drupal - лучший выбор для многих дизайнеров.

Я запускал виртуальные серверы с установленным только Wordpress, и, поскольку вы часто обновляете пакет, должны быть какие-либо серьезные ошибки. Помимо нескольких неудачных попыток кого-то попытаться кэшировать файлы cookie, я заметил что-то тревожное.

Моей проблемой также была общая уязвимость php и количество пользователей, эксплуатирующих системы безопасности, что также было причиной не прыгать в популярный мир веб-разработки на Java. Мое решение - использование Веб-платформа Python и конкретно Проект Джанго. Мое основное внимание уделяется интерфейсу веб-сервисов, приложений или веб-сайтов, для которых весь Django отлично работает на бэкенде. Разработать шаблон для него очень просто, если у вас есть шаблон, разработанный html / css, который, кажется, именно то, что вы ищете.

Надеюсь, что это даст вам альтернативный взгляд на возможности CMS и несколько ответит на ваш вопрос.