06/07/22 19:24:40 e2B6+PFt
仕事でクライアントからXOOPS2.0.15使えと指示がありますた。
xoops使って法人向けの仕事している人どのような構築、対処しているか教えてください。
とりあえず会員数600~1000人規模のもので、動作速度、サーバ負担はあまり気にしないとして
1.Xoopsformクラスは使わん、アップローダも。
2.Xoopsで利用する機能はユーザ管理、グループ管理、メール、pメッセージだけと決めておく。
3.mainfile自体をplublic_html以前のどっかに置く。
4.文字チェックが甘いと思われる部分は徹底的に厳しくした。
5.とりあえずプロテクターモジュール入れてみる。
6.systemとprotector以外は自作モジュだけ。
7.サーバの設定、PHPの設定はサーバ管理者いわく一番きつい方。xoopsがインスコしてるサーバとDBサーバは別。
8.使わないphpは消す(pda.phpとか)
9.個人情報の部分はSSL通すかDB記録するときに暗号化<->複合化。
10.あんま使いたくないけどmod_rewriteでアドレス文字を置換。
11.もちろん、自作モジュでのXSS対策とか穴を徹底的にツブス。
12.あとはサーバ側で怪しいアクセス監視して、おいらもう対応できない。
で脆弱性スキャナーとかでヤバイそうと思われるとこ徹底的に洗い出しているところです。
クライアントが後でxoopsアップデートしたら使えなくなったとかいうのは避けれるようには
極力気使って作ってます。