我们是一家小公司,不久将推出一个基于Wordpress的网站。由于我们已经在其他网站上使用SQL Server,我们正在考虑使用Brando Wordpress,它可以让您使用SQL Server而不是MySQL来进行Wordpress。但我注意到他们的WP版本是3.6版本的分叉。因此,自2013-10-16年以来没有更新。它快一年了。我已经给白兰度发了邮件,问他们是否计划很快更新,但我还没有收到任何回复。
我的问题:1.即使Brandoo已经一岁了,你认为使用它安全吗?2.你认为他们为将Mysql转换为MSSQL而构建的抽象层本身可以加强对SQL注入的保护吗?
这有点基于观点,但。。。
你真的应该让WordPress尽可能的更新。安全补丁会定期发布,非常,你会希望尽快实现这些补丁;这也是WordPress自动进行核心更新的原因之一。
WordPress中的大多数安全漏洞都来自于写得不好的主题或插件(甚至是恶意主题或插件),因此,通过编写自己的主题或使用被证明是安全的主题或外挂,你可以将风险降至最低-也就是说,你仍然会运行一个旧的、可能不安全的WordPress版本。
你也让自己在未来容易受到潜在安全漏洞的影响。假设在当前版本的WordPress(当前为4.0)中发现了一个主要的安全漏洞,您需要立即进行修补。嗯,你不能,但其他人都可以,所以你会很脆弱。
我无法回答您的问题#2,该问题询问SQL注入的强化保护。WordPress附带的DB层以一种安全的方式准备语句,不容易进行SQL注入,但我不确定Brandoo会做什么——如果SQL注入处理不当,我会感到惊讶。
MySQL本身是免费软件,可用于Windows和Unix系统,占地面积非常小。我的建议是在你的服务器上安装MySQL,并将其用于本网站。