关于小米
27岁,山西运城人,职业电商经理人,前端开发工作者,从事过网站建设、网络推广、SEO、SEM、信息流推广、二类电商、网络运维、软件开发,等相关电商工作,经验较为丰富,小米技术社区致力于为广大从事Web前端开发的人员提供一些力所能及的引导和帮助 ...[更多]
E-mail:mzze@163.com
Q Q:32362389
W X:xiaomi168527
关于王飞
27岁,山西运城人,职业电商经理人,网络工程师兼运维,从事过运营商网络建设,企业网络建设、优化。数据中心网络维护等通过,经验丰富,座右铭:当自己休息的时候,别忘了别人还在奔跑。 ...[更多]
关于小艳
大于花一样的年龄,河南郑州是我家,2010年在北京接触团购网,2011年进入天猫淘宝一待就是四年,如今已经将设计走向国际化(ps:误打误撞开始进入阿里巴巴国际站的设计,嘿嘿)五年电商设计,丰富经验,从事过天猫淘宝阿里各项设计,店铺运营,产品拍摄;我将我的经历与您分享是我的快乐!座右铭:越努力越幸运! ...[更多]
E-mail:97157726@qq.com
Q Q:97157726
高危目录:
/e/enews/index.php 后台关闭留言板块
/e/tool/gbook/ 后台信息反馈关闭
/e/action/ListInfo/index.php 后台关闭搜索和全站搜索板块
帝国cms安全防护主要从以下几个方面来
1.如果是展示站点,用不到个人空间和会员系统,删除e/space文件和/e/member下的部分文件,并在后台关闭会员注册,并开启验证码,提升安全性
严重性:不法分子通过注册账号,在e/space/?userid=xxx大量发布非法内容,搜索引擎会对网站评分降级,如果IDC服务器扫描到了会关停网站让你整改
入侵方式:/e/member/ShowInfo/?userid=4716 注意:不要删除member全部目录,那将会导致后台文章新增和修改出现空白
2.删除帝国cms安装目录 e/install(官方作者推荐)
3.关闭投稿功能系统设置-用户设置-投稿功能(官方作者推荐)
3.修改默认登陆目录e/admin为其他
4.修改默认用户名admin或者删除
5.关闭搜索功能,不法分子利用搜索缓存大量搜索,并被搜索引擎收录(换路径,或者添加禁搜词都可以)
6.安装的时候修改默认表前缀phome_
7.关闭前台模块功能,以帝国cms7.5系统为例,[系统]-[系统设置][系统参数设置]-[关闭前台模块相关功能]把不用的模块全部都关闭掉
8.不给文件服务器放未知的文件,不给网站添加未知的链接
此问题一定要注意,我就中过招,在网站添加了一个非常长的url,然后网站程序被植入木马文件
9.利用cms漏洞监测功能去查询
10.帝国cms后台系统设置-基本属性-关闭前台所有动态页面-选择关闭(谨慎,关闭全站搜索之类的php动态均不可使用)
11.帝国cms后台系统设置-用户属性-会员注册关闭 以及 投稿功能关闭,会员空间关闭
12.所用的cms网站环境要安全,例如之前的PHPstudy被爆出有重大隐患,如果已使用的,要及时更新修复漏洞
帝国cms增强安全防护(非必须)
设置登陆认证码和登陆问题
启用帝国cms网站安全防火墙[系统]-[系统设置]-[网站防火墙]
网站服务器安装防护软件
其他删除:
(1)如果我们的网站不需要帝国CMS的某项功能我们可以进行删除,不单单可以提高运行速度,减少占用空间,还可以避免黑客利用这些文件进行上传木马,具体怎么做那,如下:
首先:后台-系统-系统参数设置-关闭相应的模块 “先关闭对应的模块”
1、不使用下载系统模型
(1)、删除e/DownSys目录;
(2)、修改e/class/DownSysFun.php文件,文件第二行加exit(); <?php exit();
修改后保存文件即可。
2、不使用商城系统模型
(1)、删除e/ShopSys目录;
(2)、修改e/class/ShopSysFun.php文件,文件第二行加 exit();<?php exit();
修改后保存文件即可。
3、不使用评论功能
(1)、删除e/pl目录;
(2)、修改e/enews/plfun.php文件,文件第二行加 exit(); <?php exit();
修改后保存文件即可。
4、不使用留言板功能
(1)、删除e/tool/gbook目录;
(2)、修改e/enews/gbookfun.php文件,文件第二行加 exit(); <?php exit();
修改后保存文件即可。
5、不使用投票功能
(1)、删除e/tool/vote和e/public/vote目录;
(2)、修改e/enews/votefun.php文件,文件第二行加 exit(); <?php exit();
修改后保存文件即可。
6、不使用会员取回密码和激活帐号功能
(1)、删除e/member/GetPassword目录;
(2)、修改e/class/qmemberfun.php文件,文件第二行加 exit(); <?php exit();
修改后保存文件即可。
7、除了admin、class、data、enews、message目录外,不使用的功能可以直接删除。
不使用前台动态信息页面:直接删除e/action目录
不使用前台投稿功能:直接删除e/DoInfo目录
不使用前台打印功能:直接删除e/DoPrint目录
不使用在线支付接口功能:直接删除e/payapi目录
不使用全站全文搜索功能:直接删除e/sch目录
不使用搜索功能:直接删除e/search目录
不使用会员空间功能:直接删除e/space目录
不使用tags列表功能:直接删除e/tags目录
不使用wap功能:直接删除e/wap目录
不使用RSS功能:直接删除e/web目录
帝国CMS安全防护就讲解到这里,对于帝国CMS来说,已经非常安全,我们删除下方插件代码的意思为:代码越少,越精简,漏洞也就越少,我们不需要的功能可以直接删除掉,代码越小,越精简,漏洞就越少,把不需要的功能删除,可以增强cms安全性!
本站内容均为小米原创,转载请注明出处:小米技术社区>> 帝国cms安全性防护-防患于未然
