• 基于 ACL 的安全性：定义每个用户可以做什么。如果您想要一些灵感，MagentoCommerce.com可以很好地做到这一点。
• 草稿历史/发布修订：因此如果出现问题，您可以回滚。请参阅WordPress.org。
• 速率限制和速度检查：即限制多少评论/分钟。用户可以发帖。见... security.stackexchange.com :)
• 如果您相信您的 OpenID 提供商可以提供比您更好的安全性，那么OpenID可以说可以提高安全性。

如果您需要处理用户的密码，请确保不要以纯文本形式存储它们，并确保先对其进行加盐。

我知道它没有被广泛使用，但我一直认为用户能够上传他们的 PGP 公钥以便加密由 CMS 生成的电子邮件将是一个很好的功能。有点相关，通过电子邮件发送的任何生成的密码都应该是有时间限制的一次性使用（即密码允许用户登录 24 小时，然后他们必须更改密码）

更新：我昨晚睡不着觉，出于某种原因，这个话题又回到了我的脑海中。如果不能使用 SSL，任何登录都应该是 HTTP Digest Authentication 或带有客户端 HMAC 的基于表单的登录。基本的身份验证和原始密码表单操作是禁忌！