如今,如果说安全不是热门话题,那么经济也不是。在最近的帖子中,我提到了Joomla安全论坛多么活跃,几个月前,Joomla项目成立了一个新的安全团队(JSST)。很难称之为“当日话题”,因为这是我们每个人都应该定期思考的问题,而不仅仅是一时的风尚。正是在这样的环境下,我收到了Tom Canavan的第二本关于Joomla的书,名为《Joomla Web Security》。
第一章是基本术语的概述,以及用户如何找到适合自己需求的托管服务。Canavan建议在设置网站时遵循他的十一步来成功构建网站架构。其中一步告诉读者,如果他们需要为网站开发定制扩展,应该去JCD-A网站——一个由不想遵守Joomla GPL许可的开发者成立的开发者倡导组织。这是作者与Joomla社区脱节的一个令人不安的迹象——更不用说还有许多非常好的资源可以找到Joomla开发者,但这不是其中之一。
本书有一些针对Joomla的特定章节,对普通网站管理员来说非常有帮助。如果您还没有接触过像Joomla Tools Suite和HISA(健康、安装和安全审计)这样的工具,这里有一些不错的技巧。同样,如果您需要关于在网站上设置SSL(现已改名为TLS)的指导,这也可能有所帮助。此外,还有一章专门介绍如何使用.htaccess和php.ini,但我质疑其必要性,因为比一本书能包含的更多信息在网络上免费提供(甚至有一个生成器可以自动为您创建文件)。
本书的其余部分涵盖了诸如工具、那些“坏人”使用的技巧、SQL注入是如何工作的以及远程文件包含等内容。但这些东西都不是Joomla特有的,所以建议通常是针对所有服务器管理员的。实际上,书中只有一小部分是专门针对Joomla的,这让我想知道为什么书名是《Joomla Web Security》而不是简单的《Web Security》。尽管前言中是这样说的,但书的内容让人对其目标读者产生了疑惑。它并不是真正为Joomla用户/管理员提供的安全其网站的,因为这部分内容非常薄弱。它也不是为服务器管理员准备的,因为他们可能已经知道书中99%的内容,以完成他们的工作。
我在这本书中寻找Joomla网站上尚未突出的安全信息。
Joomla管理员安全检查清单
十大最愚蠢的管理员技巧
脆弱扩展列表
安全与性能常见问题
在下载页面上也有自动安全通知。但我似乎无法找到这个区域内任何不易获取的信息,有时候甚至比Joomla网站上的信息更全面。
我相信Joomla网站管理员中有一部分人想成为服务器管理员,并且需要一本关于Joomla的“服务器管理101”入门书籍,但我并不完全相信这40美元的价格是值得的。对我来说,像向托管公司报告入侵、定期备份以及在部署到实时服务器之前在开发服务器上进行测试这些事情都是常识。但Canavan可能认为缺少这些常识,而他的判断可能是正确的。
作者: Tom Canavan
出版社: Packt Publishing
出版日期: 2008年10月
