关于安全的新手问题

您好，我刚开始 14 天的免费试用，我很喜欢。我有一个关于安全的问题：

我以前使用过一个“Simple Machines”论坛，它链接到我的网站，但事实证明它存在巨大的安全风险，因为垃圾邮件发送者会利用该论坛作为后门访问我的网站，然后导致我的网站崩溃。

我打算使用一个标准的 Discourse 账户，由 Discourse 托管（我理解得对吗？）

Discourse 论坛和我的链接网站之间存在什么样的防火墙？

我的网站由 Squarespace 托管。

提前感谢您的帮助和建议。

Discourse 被许多大型科技公司使用

它是一个强大的系统。你不能在 Squarespace 上托管 Discourse 网站，它将由 Discourse 在其服务器上托管，这就是你付费的内容，并且将是一个独立实体。

他们还有一个活跃的 HackerOne 赏金计划：

总的来说，Discourse 没有忽视安全，而是将其视为重中之重并妥善处理。

几年前，我们的物理服务器被黑了（99% 是因为一个旧的 Confluence 站点）。除了 Discourse 之外，几乎所有东西都被毁了。在过去的 10 年里，我们大约有 4 个垃圾信息发送者。但我们并不出名。在过去的 3 个月里，我在 Discourse Meta 本身看到了大约 2 个垃圾信息发送者，他们一路发帖到论坛上。我认为它是从一开始就构建了防垃圾信息功能。我认为这甚至是他们开始时的基本理念。

您的 Squarespace 网站是 WordPress 网站吗？文档类别中有嵌入网站的集成方法。

Discourse AI 可以使用 Gemini flash 等免费 AI，如果托管，可能还有其他可用的 AI。

AI 插件套件中有 AI 垃圾邮件检测，这可能很有趣/有用。

如果噩梦来自于将论坛嵌入到另一个网站（如 WordPress）作为评论系统时的集成问题^[1]，我无法提供技术解释——但我就是这样使用 Discourse 的，而且还有很多人也这样做，并且没有遇到问题。

如果你（以及何时？）以独立方式使用 Discourse，就像大多数人那样，你的主网站只是 Discourse 中的另一个链接。那么，该网站/服务器的安全性自然取决于那里的情况。而托管 Discourse 的安全性是 CDCK 的麻烦，而不是你的。

但我敢打赌，自托管实例比 CDCK 的要多，同样，其他人可以提供更可靠的信息，但我从未听说过被破解或黑客攻击的 Discourse 实例。

1. 我不知道托管论坛是否具备这种能力 ↩︎

Squarespace是一个托管的网站构建器，而不是托管WordPress网站的地方，但它提供了通过代码块和嵌入块嵌入外部源的规定。

尚不清楚SamM具体指的是什么*“垃圾邮件发送者会利用论坛作为后门访问我的网站，然后导致我的网站崩溃。”* 垃圾邮件发送者不想让网站崩溃，他们只想用垃圾广告和点击诱饵充斥它。如果发生了这种情况，那么Simple Machines可能缺乏Discourse控制垃圾邮件的工具。

但是*“Discourse论坛和我的链接网站之间存在什么样的防火墙？”* 这个问题似乎应该问Squarespace。他们确实警告说，注入代码可能会导致超出他们控制范围的显示问题，但我认为嵌入论坛帖子造成的损害不会比这更大。

这有点离题，但这是几年前 WordPress 的一个真实问题。第一次垃圾邮件攻击成功了，但由于一个众所周知的漏洞，数百次其他攻击接踵而至，服务器因此崩溃了。或者，同样的漏洞被试图劫持整个系统的脚本小子利用，由于他们大多只是复制粘贴者，他们糟糕的代码和缺乏技能破坏了一切。

一个现实是，只有少数垃圾邮件发送者像寄生虫一样工作，而大多数则更像细菌或病毒。

Discourse 的情况并非如此。但我认为这种担忧是基于过去的情况。

确实有很多未知数。比如他们使用的论坛软件是否没有真正的垃圾邮件检测/防护功能？当然，如果使用网站构建器，Squarespace 提供什么功能。

需要发帖人提供更清晰的信息。

我们非常重视数据安全。您可以在 CDCK Inc. Forms | Discourse - Civilized Discussion 查看我们的认证和测试结果。

这个问题的完整答案足以写成一本关于安全的书。

但我将在澄清一些关于您所遇到的情况后，在此给您一个基本完整的答案：

这听起来像是攻击者（而不是“垃圾邮件发送者”——垃圾邮件发送者只会发布垃圾信息）能够利用 Simple Machines 论坛并获得对其托管服务器的远程访问权限。使您的网站崩溃只会阻止对其的访问，而不是让他们获得访问权限。

假设该服务器还托管了其他内容或包含其他数据？

思考这个问题的最好方式是考虑“影响范围”。万一有人获得了对您论坛的不当管理员访问权限，他们将可以访问论坛中的所有数据。

特别是个人身份信息（PII），但也包括配置或其他 API 密钥。例如，如果您的域上的其他服务依赖此站点进行身份验证，这可能会允许攻击者转向该其他服务。

在最坏的情况下，如果攻击者获得了对后端服务器的访问权限（通常称为远程代码执行），其影响范围还将包括运行该服务的用户帐户可以访问的任何内容。各种限制该影响范围的保护措施，例如容器化和使用非管理员凭据运行服务器，也有助于限制该暴露范围。

总而言之，在托管服务上进行托管对您的网站来说是最安全的，因为我们负责系统安全。

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.