在不久的将来,我将拥有一个 WordPress 博客,公开并且任何人都可以看到,它有一个会员区。该会员区访问带有财务数据的特殊数据库中的一些私人数据,因此此类信息应该只对站点的客户可见。
私有站点将在企业 LAN 和小型服务器上的 VPN 中运行,我想知道将私有部分与公共站点一起托管是否是个好主意。
事实上,由于 WordPress 漏洞(它现在是一个理想的目标),我认为如果攻击者获得对 WP 站点的访问权限并且该站点位于 VPN 内部,那么他将能够“从内部”进行攻击,最终他甚至可以访问私人网站及其数据。
将公共站点放在外部(例如 VPS 上)不是更合适吗?会员区将通过安全协议 (HTTPS) 访问,我想知道是否有关于此主题的一些建议。
是的,典型的配置是将您的公共网站放在公共互联网上的单独服务器上。如果它需要来自您的私人数据库的任何数据,您将设置一个 NAT,该 NAT 将为单个端口进行映射,仅映射到您的网站运行的 IP。
您还可以更进一步,让您的公共互联网设备对私有或半私有网络上的 Web 服务器进行反向代理。
第一个问题是公共站点和私人站点是否真的必须一起运行。理想情况下,它们将单独运行,公共站点在外部服务器上,私有站点在 LAN 中的服务器上。
如果它们必须在同一台服务器上运行,那么无论是在外部还是内部托管,私有数据被泄露的风险都是一样的。问题是受感染的服务器是否可用于访问与站点无关的数据和系统。为了防止这种情况发生,如果您在内部托管服务器,您希望将服务器托管在DMZ中。