Movable Type在发布文章的时候是生成静态html页面的,如果采用第三方的评论和搜索,完全可以只将静态文件发布,在安全性上,比其他动态生成的博客要高不少。当然,很多的Movable Type都很容易猜到后台的地址,把管理后台(前台有用户名)暴露,可能会出现暴力破解或者撞库的情况。
根据多年的Movable Type使用经验,和大家分享一下Movable Type的安全设置。
一、隐藏后台地址
如果采用第三方的评论和搜索,那么在页面的源代码中是不会出现mt-comments.cgi和mt-search.cgi这些文件的,那么大家就猜测不到管理后台的地址。如果没有采用第三方的评论和搜索,从源代码可以猜测出mt.cgi文件,就有可能出现尝试登陆的情况。
解决办法:
修改mt.cgi为mt-admin.cgi,然后在mt-config.cgi文件中添加一行:
AdminScript mt-admin.cgi
这样,我们就可以通过mt-admin.cgi来访问管理后台。同时,把不用的一些cgi文件,比如mt-ftsearch.cgi,把其权限设置为644,避免他们的执行,减少一些潜在的漏洞。
二、启用用户锁定和IP锁定
当用户在一定的时间内,错误了一定次数,可以锁定该用户一定的时间。对同一个IP地址也可以进行这样的锁定。
这个设置在System Overview-->Settings-->General Settings下的Lockout Settings中。
三、修改Username和Display name
Username就是登陆用户名,Display name就是现实在页面上的名字,如果两者不一样,那么就很难猜测到用户名。
四、增强密码强度
养成好习惯,增强密码强度,和其他账户使用不同的密码,避免撞库。
这个设置在System Overview-->Settings-->User Settings下的Password Validation中。
五、修改Movable Type生成的文件和文件夹的权限
默认情况下,Movable Type生成的文件夹权限都是777,文件权限都是666。我们可以在mt-config.cgi文件中加入下面三行,使得生成的文件夹权限为755,文件权限为644。
UploadPerms 0644
DirUmask 0022
HTMLPerms 0644
六、多用户博客限制用户权限
对于多用户的博客,在非管理员账户权限设置上,尽量够用就行。比如撰稿者,那就不需要开放博客设置、模板修改等权限。尤其是模板修改权限,如果账户登录信息泄露,那么黑客很容易通过该账户的模板修改权限上传一些工具,威胁博客的安全。
七、减少第三方插件的使用
插件在给我们带来功能和便利性的同时,也带来了威胁。相对于WordPress的活跃性,Movable Type插件的用户更少,更新速度慢多了,可能会存在一些漏洞未能及时更新。如果仅作博客或者小型CMS使用,Movable Type目前已经能够基本满足,尽量减少插件的使用。
(完)