关键漏洞信息 1. 禁用开发模式 开发模式在生产环境中应禁用,以减少安全风险。 2. 保护源文件夹 确保Craft CMS的PHP文件和敏感信息不通过HTTP暴露。 避免将 、 等配置文件放在公共Web目录下。 3. 设置 为 在生产环境中设置 为 ,防止关键系统设置被意外或恶意修改。 4. 隐藏 别名和URL 避免使用 别名作为站点的Base URL,防止Craft从其他站点访问敏感数据。 每个站点应有独立的Base URL。 5. 保护秘密密钥 不要泄露任何环境变量,如数据库密码、API密钥等。 6. 安装SSL证书并强制HTTPS 强制使用HTTPS,确保所有通信加密,防止敏感信息泄露。 7. 不要信任前端用户输入 始终假设前端用户输入是恶意的,进行适当的验证和转义。 使用Craft内置的 服务进行类型检查。 8. 审计 配置 审查并限制允许上传的文件扩展名,防止恶意文件上传。 9. 清理HTML 使用 清理富文本字段中的HTML,防止XSS攻击。 10. 启用CSRF保护 确保所有POST请求都启用了CSRF保护。 11. 确保使用最新版本的PHP Craft要求PHP 8.2,并定期测试新版本的安全性。 12. 保持Craft和插件更新 及时更新Craft和所有插件,修复已知漏洞。 13. 检查权限 审查用户和组权限,确保只有管理员可以访问控制面板。 14. 审查配置设置 定期审查Craft配置设置,确保符合安全要求。 15. 设置前端站点的安全头 配置服务器发送必要的安全头,如Strict-Transport-Security、X-Frame-Options等。 16. 其他注意事项 考虑更改 设置,增加控制面板访问难度。 移除 头,避免暴露技术栈信息。