建站技術網專注分享網站建設技術,網站建設教程,真正幫你學會做網站技術,輕松解決網站建設過程中遇到的常見問題,為廣大站長服務。 網站地圖 | 收藏本站 | 訂閱
域名投資,就來找米網,認準網址:www.zhaomi.cc 專業仿站,就到仿站網:www.fangzhan.org
  站內公告: ·帝國cms教程內容已更新,歡迎關注     ·建站技術網采用阿里云服務器,備案已通    
您當前的位置:建站技術網 > cms教程 > Phpcms教程

PHPCMS v9 安全設置、防范教程

時間:2019-04-29 22:59:16  來源:網絡收集  整理: 建站技術網 www.txwlqq.com     點擊:0次

一、目錄權限設置很重要:可以有效防范黑客上傳木馬文件.

如果通過 chmod 644 * -R 的話,php文件就沒有權限訪問了。
如果通過chmod 755 * -R 的話,php文件的權限就高了。

所以就需要分開設置目錄權限和文件權限:

linux 服務器權限:經常要用到的命令:

find /path -type f -exec chmod 644 {} /;? //設置文件權限為644
find /path -type d -exec chmod 755 {} /;? //設置目錄權限為755

設置完成后,再通過命令:chown root:root * -R 將目錄和文件的所有者改為root。

這樣就更加安全了。

FTP用戶,確定使用的是linux主機。windows需要登錄到服務器中設置。
進入到phpcms 安裝根目錄,選取所有文件:
設置數字值為:755,同時選定:選擇遞歸處理子目錄,只應用到目錄
同樣再選擇所有文件,數字值為:644,選擇遞歸處理子目錄,只應用到文件
如果設置錯了,重新再設置就可以了。

二、Linux find命令 查找可疑的木馬文件

查找:30天內被修改的文件
find? ./? -mtime? -30? -type f? -exec ls -l? {} /;
找到目錄下所有的txt文件
find ./ -name "*.txt" -print
找到目錄下所有的txt文件并刪除
find ./ -name "*.txt" -exec rm -rf {} /;
找到目錄下所有的php文件 并且在30天之類被修改的文件
find? ./ -name "*.php" -mtime? -30? -typef? -exec? ls -l? {} /;
找到目錄下所有的php文件,同時,滿足 30天以內,1天之前的
find ./ -name "*.php" -mtime -30 -mtime +1 -type f -execls -l {} /;

三、通過apache配置限定:

1、apache 下 禁止目錄執行php
通過目錄下面放置 .htaccess文件來限制權限。
該方法會將php文件當做附件并下載。同時,可以通過瀏覽器訪問到文件。
php_flag engine off

使用場景:在下面目錄放置
/uploadfile/
/statics/
/html/
/phpsso_server/uploadfile/
/phpsso_server/statics/

2、禁止通過瀏覽器訪問所有文件

通過目錄下面放置 .htaccess文件來限制權限。
RewriteEngine on
RewriteRule ^(.*) /index.html

使用場景:
/caches/
/phpsso_server/caches/

3、禁止php跨目錄瀏覽權限配置:

虛擬主機配置樣例:
<VirtualHost *:80>
??? ServerAdmin root@phpip.com
??? DocumentRoot /data/wwwroot/www
??? ServerName www.phpip.com
??? <Directory? /data/wwwroot/www>
??????? Options? FollowSymLinks
??????? AllowOverride Options FileInfo
??????? Order allow,deny
??????? Allow from all
??????? php_admin_value open_basedir /data/wwwroot/www/:/var/tmp/
??????? DirectoryIndex index.htm index.html index.php
??? </Directory>
??? ErrorLog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-error_log 86400 480"
??? CustomLog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-access_log 86400 480" common
</VirtualHost>


4、按天存放apache日志:

參考上面配置文件:
??? ErrorLog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-error_log 86400 480"
??? CustomLog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-access_log 86400 480" common

文件權限
  安裝文件
  刪除/install安裝目錄
  文件權限
  PHPCMS安裝結束以后,在您不需要對系統核心配置文件進行修改時,請將phpcms文件夾屬性修改為644(windows服務器下登錄服務器直接修改時請設置為“只讀”)
  虛擬主機控制面板-安全設置-設置執行/寫入權限 web/phpcms取消此目錄的執行、寫入權限 關閉網站即web的寫入權限ftp將無法上傳或修改任何文件,同時網站無法再發文緩存,遭受惡劣攻擊時可以這么做。因為虛擬主機服務器上有非常多的網站空間,如果別人沒有取消權限,黑客或許可以找到漏洞進行跨站修改。
  讀取權限就點擊查看權限,寫入權限就是上傳東西到ftp的權限,執行權限就是asp和php腳本的權限,如非必要不必開啟,為了網站安全考慮。
  在線編輯
  caches/configs/system.php
  'tpl_edit'=>1,//是否允許在線編輯模板
  將1改為0取消后臺在線編輯模板
  錯誤提示
  caches/configs/system.php
  'debug' => 1, //是否顯示調試信息
  1修改為0
  開了就是如果前臺出現了sql錯誤等信息 就不顯示具體的錯誤代碼 用一行文字代替
  不會暴露程序信息
  后臺設置
  帳戶安全:將后臺地址admin.php改為自定義,用戶名不要使用常見用戶名,密碼字母數字組合,用戶名密碼不重復包含。在前臺發布的文章的編輯和作者中不要顯示真實的用戶名。
  安全配置:設置-安全配置(后臺登陸次數、間隔、域名<慎用>)
  角色權限:設置-角色管理(成員、權限、欄目)
  口令驗證:設置-管理員管理-口令卡,設置后登錄時需要輸入動態密碼(選用)
  木馬查殺:擴展-木馬查殺
  操作日志:擴展-后臺操作日志
  前臺安全
  會員系統
  注冊:用戶-會員模塊配置(是否允許注冊、郵箱手機驗證、驗證碼等)
  權限:用戶-管理會員組(組別權限)
  投稿:一級欄目修改-權限設置,應用到子欄目(游客不允許);工作流:一級審核
  會員中心:在線投稿,刪除轉向鏈接
  前臺文章:作者昵稱(管理員顯示站名)
  友情鏈接
  后臺模塊配置不允許申請,首頁刪除申請鏈接入口,防止惡意提交,頁腳留QQ就行了
  升級補丁
  在線升級:做好備份,擴展-在線升級,選中升級,注意不要選中模板,否則你改的模板將全變成默認的,升級后臺有些會還原,再次修改即可,升級后根目錄會增加install安裝目錄,將之刪除。
  手動升級:做好備份,官方補丁下載,比對替換。
  保護查殺
  保護加速:360網站衛士、安全聯盟加速樂
  漏洞查殺:360網站檢測、安全聯盟

標簽:
文章標題:PHPCMS v9 安全設置、防范教程
文章網址:http://www.txwlqq.com/cmsJiaocheng/Phpcms/9424.html
上一篇:phpcms v9后臺添加文章時選擇相關文章可調用其它模型信息的方法
下一篇:phpcms下添加友情鏈接提示找不到link字段(字段名錯誤)的解決方法
來頂一下
返回首頁
返回首頁
相關文章
    無相關信息
推薦資訊
如何通過SEO優化排名賺錢?SEO賺錢方法
如何通過SEO優化排名賺
seo優化教程:網站seo內容優化
seo優化教程:網站seo
SEO細節:企業SEO如何快速為新站做出效果
SEO細節:企業SEO如何
電商技術將如何發展?2018年有這五個大膽預測
電商技術將如何發展?
最新文章
欄目更新
欄目熱門
成人黄色