Я знаю, что наличие открытого исходного кода не обязательно делает программу более/менее безопасной, чем закрытое исходное код (давайте предположим, что это нейтральность, чтобы избежать флейма в этом посте). Дело в том, что, поскольку исходный код открыт, все знают ваши URL-адреса по умолчанию, логины администратора по умолчанию и т. д.
Я использую Wordpress и Joomla в некоторых проектах своих клиентов и всегда стараюсь создать какую-то дополнительную безопасность. За исключением постоянного обновления ваших файлов до последней версии, что вы обычно делаете, чтобы повысить безопасность в этом сценарии? Некоторые из моих мыслей:
Я всегда меняю имя «admin», когда это применимо;
Я хотел бы не указывать явно, какие технологии я использую, но, поскольку я хочу продвигать CMS (я думаю, это минимум, который я должен сделать), я просто не говорю точную версию, чтобы злоумышленники не знали какие именно уязвимости они могут атаковать (например, wordpress автоматически создает метатег в html со словами «Wordpress 2.8.4»);
Установите правильные разрешения в каталогах и сценарии bash на моем сервере, которые запускаются каждый день в 0 часов, устанавливая 755 для каталогов, которые я, возможно, изменил на 775 в течение дня и забыл вернуться;
Когда это применимо, я устанавливаю конфигурацию apache для ограничения ips.
Что еще я должен попытаться сделать? Какие готовые решения вы обычно применяете для своих установок?