En realidad, depende de las capacidades de su firewall, pero primero: ¡deje de hacer todo lo que implique iniciar sesión en el puerto 80! Si su CMS solicita un nombre de usuario y una contraseña, y se está ejecutando a través de HTTP (como sería estándar para el puerto 80), su nombre de usuario y contraseña se enviarán en texto sin cifrar entre su máquina local y su servidor.
Una vez que esté ejecutando HTTPS, hay muy poca diferencia en los dos enfoques:
- Cualquier configuración errónea en httpd.conf podría abrir lagunas, por lo que debería estar buscando minimizar las posibilidades de estos. Esto podría ser a través de un conjunto limitado de opciones de configuración que se utilizan, lo que facilita la supervisión o el mantenimiento de restricciones relacionadas con sitios específicos en archivos de configuración dedicados, de nuevo, asegurando que se puedan revisar fácilmente los problemas.
-
Si su firewall solo puede monitorear el tráfico a nivel de puerto, puede introducir rutas no intencionadas para acceder a las funciones de creación de contenido si el CMS no se ha creado teniendo esto en cuenta. Por ejemplo, aún podría ser posible acceder a las herramientas de creación de contenido a través del puerto del sitio principal, pero si el puerto de creación de contenido no puede acceder al sitio principal, esto dependería del CMS específico en uso.
Si tiene un firewall más poderoso, que puede hacer una inspección de tráfico, puede restringir el acceso a direcciones URL específicas a direcciones IP determinadas. También puede implementar estas restricciones con algunos sistemas WAF. Todavía hay una posibilidad de mala configuración, al igual que con httpd.conf.
Para la mayoría de los sitios pequeños, la modificación de httpd.conf o los archivos relacionados es probablemente suficiente. Para sitios más grandes, no hay nada que le impida hacer ambas cosas: la defensa en profundidad es un buen principio. Para sitios de muy alto perfil, probablemente desee separar la creación de contenido y el servicio real del sitio, e implementar algún tipo de mecanismo de envío para enviar actualizaciones realizadas en un servidor de creación a servidores de alojamiento que no permiten modificaciones por otros métodos.