DokuWiki 是一种经常被使用在公共服务上的网络应用。这意味着,例如比起你桌面系统的本地应用,你要承担更多的风险接受恶意使用者的攻击。
DokuWiki 以安全的思想进行开发。我们试着在用户友好和安全之间找到一个平衡,但当无法找到满意的妥协时,更倾向于安全。
该页面对你应该关注哪些方面提供了一个概览,确保你的 DokuWiki 是安全的。
当你发现 DokuWiki 的安全问题时,请通知我们。你可以按以下方法进行:
前两个作为提交 bug 的首选方法,除非当您发现非常严重的错误,如果在 patch 提供之前使该 bug 公开,会危机到全世界已经安装 Dokuwiki 的使用者,那么您应该考虑第三种联系方法。
所有的以前的安全问题可以在这里找到。
根据已知安全问题的严重性,非常小的问题会在以后的版本中进行修正,又或者制作并释放 bugfix。在后一种情况下,更新检查机制会通知用户进行必要的更新。
你应该经常使用当前释放 DokuWiki 的最新版本,因为没有为旧版本发布安全修正程序。
DokuWiki 使用文件来存储配置和页面数据。你必须确保这些页面绝不能直接的从网络访问。发布的压缩包里面含有一组 “.htaccess”文件,这些文件会告诉 Apache Web 服务器拒绝访问某些目录。
如果你不使用 Apache Web 服务器又或者你的 Apache 不能使用 “.htaccess” 文件,那么你需要手动设置,确保你的安装安全可靠。
以下目录不应该从网络直接访问:
data
conf
bin
inc
(尽管可访问时没有危险)
要检查你是否需要调整访问权限,你可以试着访问http://yourserver.com/data/pages/wiki/dokuwiki.txt
。你应该无法以这种方法访问到该文件。
如果你的目录没有进行适当的安全设置,请阅读以下小节,它会告诉你如何做到这些。
最简单的方法就是在您的 Apache 配置中开启 .htaccess
支持。请参考Apache的 .htaccess 教程。
可以在 IIS 的配置设置中禁用上述目录的访问。
在iis7配置设置中禁用上述目录的访问的方法
更简单的办法就是在dokuwiki的根目录下.找到web.config文件
如果没有就创建一个
打开改为以下代码
<?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <security> <requestFiltering> <filteringRules> </filteringRules> <alwaysAllowedUrls> <add url="/data/media/" /> </alwaysAllowedUrls> <denyUrlSequences> <add sequence="/data/" /> <add sequence="/conf/" /> <add sequence="/bin/" /> <add sequence="/inc/" /> </denyUrlSequences> </requestFiltering> </security> </system.webServer> </configuration>
为了避免任何对上述目录的访问,最安全的方法就是把它们从 Web 服务所谓的“根文档”中移出来。
例如,如果把 “data” 目录移动到 “/home/yourname/data”,添加以下这一行到 “conf/local.php”:
$conf['savedir'] = '/home/yourname/data/';
例如,如果把 “conf” 目录移动到 “/home/yourname/conf”,创建以下的 “inc/preload.php”文件:
<?php define('DOKU_CONF','/home/yourname/conf/');
bin 目录包含了命令行工具。如果你没有 shell 可以访问你的服务器,你可以简单的删除该目录和它的内容。否则只要把它移出文档根即可。不需要更多的配置工作。
从文档根中移出该目录,直到目前还没有简单的方法。但是因为它不包含任何的敏感数据,所以不值得努力尝试移出它了。
DokuWiki 包含了多个配置设置,对安装的各个安全方面产生影响。请参阅每个设置文档,以了解它们能做什么以及建议的设置。
DokuWiki 拥有大量的社群贡献的插件。插件通过添加新的代码为 DokuWiki 提供新的功能。这意味着该代码实际上已经访问到你的服务器。此外在一个完全特设的方式下,插件与 DokuWiki 是分开发布的。它们不像 DokuWiki 的核心代码库那样得到同样的关注和审查。所以,在安装一个插件之前的安全措施是有必要的。
这里有一些提示,帮助你选择你想要安装的插件。
lib
目录下,它可以从外部直接访问。检查一下该插件包含哪些文件,并使用适当的 .htaccess 文件锁定对它们的访问。这里有一些更多关于安全方面的内部和外部网页。