Concrete CMS を構築する方向けの推奨設定の紹介ページです。
Concrete CMS公式サイト(英語)より翻訳しています。
この情報はバージョン8、バージョン9共通です。
あなたのサイトのために書いたコードも安全であることを確認するために時間を費やしてください。
※ 開発者は https://documentation.concretecms.org/developers/security/overview をチェックしてください。
ここでは、サイトを公開する際に役立つチェックリストをご紹介します。
これらの推奨事項のほとんどは、セキュリティ強化のための推奨事項ですが、いくつかの「常識的な」指摘も含まれています。
ウェブサーバー自体の設定方法に関する提案は、包括的なものではないことに注意してください。
私たちはConcrete CMSの専門家であり、お客様のウェブサーバーの専門家ではありません。
お使いのウェブサーバのベストプラクティスに従うことをお勧めします。
/application/files
ディレクトリからのコード実行を防止するよう設定します。つまり、/application/files
および Concrete で設定したその他のパブリックストレージの場所からのファイルのみを静的に提供するようにウェブサーバを設定します。/dashboard/system/mail/logging
/application/files/*
に対して、画像は画像として、それ以外はプレーンテキストとして提供するようにウェブサーバを設定します。
/application/files/cache/expensive
/dashboard/system/environment/debug
/dashboard/system/registration/password_requirements
/dashboard/system/files/filetypes
/dashboard/system/registration/automated_logout
/dashboard/system/registration/open
application/config
ディレクトリに concrete.php というファイルを作成し、許可するファイルの種類を指定することができます。
./vendor/bin/concrete5 c5:config set -g concrete.security.misc.x_frame_options null
/dashboard/system/registration/deactivation