最近,我一直在考虑在网站上设置管理区域的最安全方式.我玩弄的两个选项是,
我意识到如果我将管理区域设置为与网站分开,这将要求用户在他们甚至可以尝试进入之前发现管理面板在那里.这增加了多少安全性?
但是,强制他们在主站点上注册一个电子邮件地址会将他们的帐户绑定到一个电子邮件地址,我认为这有助于提高安全性吗?但是将管理区域放在主站点上会使攻击更容易,因为所有用户需要做的就是在系统中找到一个错误吗?
我想我可以看到两者的正面和负面.
我的经验法则是(大部分):
登录后,管理员是否在网站设计中进行操作,或者他们是否采用某种完全不同的“设计”(如大多数 CMS 的后端)。如果它们保持相同的设计(并且站点可以注册用户),则仅在主站点上创建管理员级别帐户是有意义的。
如果没有可供用户注册的选项,请使用类似的后端/admin/,然后就到此为止了。
此外,“可破解”取决于数百万个因素,恕我直言,管理员的登录位置不是……嗯……重要的因素之一。