Grav を利用する場合、管理画面の有無にかかわらず、留意すべきベスト・プラクティスがあります。誰がウェブサイトの何にアクセスできるか、潜在的なリスクに関する制限設定を行います。
管理画面にアクセスできるユーザーを作成する場合、まず、そのユーザーが何にアクセスできるかを検討する必要があります。Admin-plugin は、新しいユーザがサイトに対してできることを制限するために、パーミッションを提供します。多くのユーザがいる場合、そのうちの何人かはサイトのコンテンツを書くだけなので、admin.login と admin.pages-permission を有効しにします。
さらに、ユーザーがどのサイトでも使える共通パスワードを使わないようにすることは、常にベスト・プラクティスとされています。もし誰かがそのパスワードを盗んだら、その後どのサイトでもログインできてしまうからです。良いパスワードは強いパスワードですが、辞書に載っている単語を使った長い文章でも、ランダムな記号、文字、数字で構成されたパスワードより簡単に解読されます。しかし、どんな人間でも長くてランダムなパスワードを覚えるのは大変なことです。そのため、ブラウザに各サイトのパスワードを記憶させ、ロックを解除するための強力なパスワードを 1 つだけ記憶させることを好む人も多いようです。ランダムなパスワードを生成するには、メモ帳を開き、キーボードのランダムなキーを激しく叩くだけでです。
best practice
password manager
ユーザーにはランダムなパスワードを使用するように指示し、覚えてもらえるような強力で長いパスワードを 1 つ作成します。この長いパスワードは時々変更する必要があります。また、管理画面へのアクセスには、常に 2 要素認証を常に要求してください。。管理画面に対するブルートフォース攻撃を防ぐために、管理者は Flood Protection も有効にする必要があります。
ウェブマスターは、ウェブサイトを管理する責任者であり、通常、サーバーレベルでアクセスすることができます。この人物は、もちろんサーバーの安全 を確保すべきですが、彼または彼女、そしてサーバーにアクセスできる他の誰もが、安全な方法でのみサーバーにアクセスすることを確実にする必要があります。つまり、どんな状況でも FTP は使用せず、パスフレーズを利用するセキュアな鍵ペア を使用した SFTP のみを使用することです。サーバーホストは通常、通常の FTP を無効にし、SFTP でサーバーにアクセスするための情報を持っており、鍵ペアを作成することは、たいていドキュメントとして提供されています。
より広い意味で、他のユーザーがサーバーにアクセスする必要があるかどうかを考えてみてください。アクセスするユーザーを増やすことは、そのユーザー自身の行動だけでなく、鍵やパスワードが盗まれた場合、他の人が直接サーバーにアクセスできる危険性があるため、潜在的なリスクとなります。同じように、誰もがサーバーへのルートアクセス権を持つべきではなく、 Grav 用のPHPを実行するシステムユーザーは、システムのみがアクセスできる別のユーザーであるべきです。
Webサイトやサービスにとってサーバーがいかに重要であるかを考えると、サーバーとそのコンテンツを保護することは最も重要なことです。
オリジナル : https://learn.getgrav.org/17/security/users