私はPHP/MySQLを使用してコミュニティサイトを構築していますが、通常のユーザーがログインしたときに管理者ログインを許可してから、「管理者コントロールパネル」リンクを表示することを考えていました。コントロールパネルプラットフォームが同じサイトでホストされるようにします。これは安全ですか?代わりに、管理者用に別の「ゲートウェイ」、つまりhttp://admin.example.comが必要ですか?または、コントロールパネルをまったく別のドメインにホストする必要がありますか?Adminコントロールパネルはどこに置く必要がありますか?
お時間をいただきありがとうございます。
.htaccessを使用してアクセスが制限されたディレクトリを使用することをお勧めします。
管理者のユーザーアカウントがハッキングされる場合、ACPへの彼のアクセスはまだ安全です。
管理者と通常のユーザーが同じフォームを使用してログインすることは、他のセキュリティ対策によっては必ずしも安全性が低いとは限りません。 Drupalなどの一部のCMSシステムでは、そのモデルが使用されます。
security through obscurityではなく、他のセキュリティ上の問題に焦点を当てたほうがよいでしょう。管理者ログインを特定のIPアドレスに制限しますか?多数のログイン試行の失敗後にユーザーをブロックしますか?強力なパスワードを奨励/強制しますか? etc。
adminログイン用にhttpsを強制することも悪い考えではありません(可能な場合) –
合意に達しました! **すべての管理者ページ**にhttpsを強制することは悪い考えではありません。 –
正しいユーザー名とパスワードで誰でもログインできます。しかし、「はい」と「いいえ」の値を(推測しにくい)管理者用のユーザーテーブルに追加の列があります。ユーザーがログインしている場合は、この列もチェックしていて、値が「はい」の場合は別の表で管理者特権をチェックします。
しかし、管理パネル自体は、/ adminのような通常のフォルダにあります。期待通りに
これはシンプルで実用的ですが、私はこれについて考えていませんでした。 –