Dipende dalle funzionalità del tuo firewall, in realtà, ma prima: smettere di fare qualsiasi cosa che comporta l'accesso sulla porta 80! Se il tuo CMS richiede nome utente e password e stai utilizzando HTTP (come sarebbe standard per la porta 80), il tuo nome utente e password verrebbero inviati in chiaro tra il tuo computer locale e il tuo server.
Una volta eseguito su HTTPS, ci sono poche differenze nei due approcci:
- Qualsiasi errore di configurazione in httpd.conf potrebbe aprire scappatoie, quindi dovresti cercare di minimizzare le possibilità. Ciò potrebbe avvenire attraverso una serie limitata di opzioni di configurazione utilizzate, rendendo più semplice il monitoraggio o mantenendo le restrizioni relative a siti specifici in file di configurazione dedicati, assicurando nuovamente che possano essere facilmente controllati per eventuali problemi.
-
Se il firewall può solo monitorare il traffico a livello di porta, può introdurre percorsi non intenzionali per accedere alle funzioni di authoring del contenuto se il CMS non è stato creato tenendo a mente questo. Ad esempio, potrebbe essere ancora possibile accedere agli strumenti di authoring del contenuto sulla porta del sito principale, ma per la porta di authoring del contenuto non essere in grado di accedere al sito principale - ciò dipenderebbe dallo specifico CMS in uso.
Se disponi di un firewall più potente, che può eseguire l'ispezione del traffico, potresti essere in grado di limitare l'accesso a URL specifici a determinati indirizzi IP. Potresti anche essere in grado di applicare queste restrizioni con alcuni sistemi WAF. C'è ancora una possibilità di configurazione errata, proprio come con httpd.conf però.
Per la maggior parte dei siti di piccole dimensioni, la modifica di httpd.conf o dei file correlati è probabilmente sufficiente. Per i siti più grandi, non c'è nulla che ti impedisca di fare entrambe le cose: la difesa in profondità è un buon principio. Per siti di alto profilo, è probabile che si desideri separare l'authoring del contenuto e la pubblicazione effettiva del sito e implementare una sorta di meccanismo push per inviare gli aggiornamenti effettuati su un server di sviluppo ai server di hosting che non consentono modifiche con altri metodi. p>