启用严格的访问控制方案。依据最小权限原则进行访问控制方案的配置。不论网站服务器操作系统、应用程序、数据库还是管理后台都授与相应的用户以最小权限。
同时,明确用户、角色、权限、资源之间的对应关系,针对各类管理用户进行严格的分角色、分权限设置。删除无关账户,禁用或者限制各类默认账户权限,修改默认口令。
对服务器管理、网站管理后台管理登录IP进行限制。对操作系统和数据库系统特权用户进行权限离别。在Web应用程序中不要用管理员账号连接数据库。限制非管理账户访问网站及有关目录文件,禁止非管理账户访问目录的文件列表。建议隐藏网站后台管理地址。
