Vantaggi per la sicurezza di ospitare il tuo CMS su localhost

Se il tuo CMS sta ascoltando 127.0.0.1 ("localhost") e non con altri indirizzi IP sul tuo sistema, allora sì, nessuno online sarà in grado di accedervi sarai l'unico in grado di accedervi, mentre sei connesso al computer su cui è in esecuzione.

È insolito che questo sia quello che vuoi, ma hey, forse vuoi semplicemente usare il tuo CMS come libreria personale. Se è così, divertiti.

Se il tuo obiettivo è proteggere il tuo CMS ma permetti comunque ad altre persone di accedervi, questo non è un passaggio appropriato. In tal caso, iniziare con Google su "come proteggere XXXX" dove XXXX è il nome del tuo CMS (wordpress, drupal, what-have-you). Qualsiasi CMS principale avrà delle guide che descrivono i passaggi di sicurezza standard.

Supponendo che tu stia eseguendo un server localmente e inserendo un CMS Drupal / WordPress ecc. locale su quel server locale che sicuramente, puoi configurarlo per non essere accessibile al mondo esterno.

Ma, dato che sembra che tu voglia effettivamente avere un sito web "online" che non funzionerà davvero.

Se vuoi lavorare in modo sicuro con un CMS gowenfawr è giusto cercare come "indurire (nome cms qui)". Ma metterlo solo sul tuo computer non ti farà davvero molto bene. In teoria è possibile mantenere una versione localhost del proprio sito Web e quindi inviarla via ftp al server host (ftp potrebbe non essere la migliore dal momento che si sta cercando la sicurezza). Ciò ti consente di mantenere il controllo del tuo server di casa e di apportare modifiche e quindi di passare a Internet.

Ma partendo dal presupposto che tu abbia spinto l'intera cosa sul server pubblico che lascerebbe i cms online aperti a potenziali attacchi. In entrambi i casi, penso che la cosa migliore da fare sia cercare come indurire il tuo cms e collegarlo in modo sicuro.

Come esempio, non vuoi accedere all'amministratore di WordPress tramite http e una connessione Wi-Fi pubblica perché potresti facilmente farti annusare la tua password.

Sarà sicuro che altre persone non potrebbero accedervi. Tuttavia, se lo fanno, non dovresti eseguirlo localmente perché la tua macchina potrebbe essere compromessa da un utente malintenzionato.

Tuttavia, tieni presente che quanto segue potrebbe essere ancora possibile, a seconda del CMS:

• Potrebbe esserci un difetto XSS . Se il CMS visualizza contenuti dal tuo sito web online (come i commenti degli utenti), qualsiasi script immesso verrà comunque eseguito se esiste una vulnerabilità anche se stai visualizzando su localhost. Ovviamente, l'XSS può essere di uso limitato per l'aggressore, ma se conosce il CMS e è abbastanza intelligente potrebbe aggiornare il contenuto sul tuo sito creando lo script giusto.
• Il CMS sarà ancora a rischio di CSRF se esiste una vulnerabilità del genere. Se l'utente malintenzionato sa che stai eseguendo localmente e conosce il CMS, allora potrebbero stilare un attacco.

In genere, prenderei in considerazione un rischio molto basso a meno che tu non abbia una minaccia specifica per il tuo sito.

Un'altra cosa da considerare è il meccanismo di trasporto dal tuo CMS al sito web. Ad esempio, qualsiasi connessione al database. È necessario assicurarsi che questo sia crittografato e autenticato, altrimenti il traffico proveniente dal CMS sarebbe vulnerabile a Man-In-The-Middle. Verifica che utilizzi un trasporto sicuro per questo come TLS.