ecshop服务器端的文件和文件夹应该如何设置权限才是安全的？什么文件夹应该设什么权限？

目前网络黑客、木马，比较泛滥的今天如何才能通过系统本身的安全性设置来防止被入侵，下面列出几点意见欢迎大家交流。

1，不要购买或者下载来历不明的模板、插件。

来历不明的模板或插件及有可能带有后门程序，使用后被人利用后门入侵网店，**重要信息，以及被长期监控。或将您的订单会员资料出售给同行，后果相当严重。

2，找人开发功能或者修改模板的时候，不要将服务器密码等重要资料交给对方

将FTP，或者服务器密码交给别人是非常危险的事情，一定要对对方的资质与信用进行评估，因为有人会通过这样的方式要到密码后进行入侵。合作结束后一定要修改掉服务器或者FTP密码

3，后台路径修改一下更安全。

从ECSHOP271版本开始，可以自定义后台路径，修改方法也比较容易，比如我要将 /admin 改成 /ecmoban

首先进FTP中将admin目录改成ecmoban

其次打开 data/config.php 这个程序，将所有“admin” 字段 改成 “ecmoban”

$admin_dir = "admin" ==》 $admin_dir = "ecmoban"

define('ADMIN_PATH','admin')==》 define('ADMIN_PATH',ecmoban)

这样就行了

4，后台主管理员的用户名和密码进行修改，默认的其他管理员删除

建议将管理员账号改成中文，比如原来是admin 改成“模板堂”

然后密码改成15位以上，数字英文和符号混合。

5，检查模板文件的安全性

因为ecshop的模板机制是 dwt+lbi文件运行。而如果dwt文件可以直接访问对模板的安全性是不够的，容易被人直接下载你的模板。我们可以从浏览器里输入

你网址/模板目录/index.dwt来测试是不是可以打开，如果可以打开页面则说明有问题。默认情况下是403错误。

如果可以打开（不是403错误，看到的是带一点点乱码的页面）

那么你可以在后台 商店设置-URL重写里 勾选简单或者复杂重写。因为伪静态的规则对于模板也有一定的保护作用，再试试 直接访问index.dwt应该就打不开了。

6，在后台商店设置里 限制附件上传的大小

后台商店设置-基本设置里 有一个附件上传大小的设置，建议将默认值改成0

7，找一家比较安全的空间商来合作

空间是网站的最后一道防线，有硬件防火墙、定期备份数据等防护措施的服务器机房将大大提高你的网站安全性，这里比较推荐用ECSHOP直通车产品 运用目前比较流行的云服务器技术，并可以定期备份，是广大ECSHOP商家的首选。

8，定期去论坛更新ECSHOP补丁

官方会按最新的漏洞发布补丁，我们要做的就是经常更新补丁即可

ecshop文件说明

一、文件夹功能说明

1、根目录：前台程序文件

2、admin：后台程序文件夹

--根目录：后台程序文件 *.php文件

--help\zh_cn：各功能的帮助文件 *.xml文件

--images：后台页面用图片

--includes：后台公用文件和函数

--js：后台用js脚本

--styles：后台用样式表

--templates：后台页面模板 *.htm文件

3、api：调用API的系统公用函数

4、cert：存放证书的文件夹

5、data：数据连接设置等，包括各种广告的上传图片等

--afficheimg：首页flash广告图片

--brandlogo：品牌logo

6、images：上传商品图片文件夹，按日期分目录

--200902：按月份划分商品图片

--upload：上传文件夹，包括file、flash、image和media

7、includes：前台公用文件和函数

--codetable：语言对应的代码表

--fckeditor：开源html文本编辑器

--modules\convert：shopex转换文件

--modules\cron：如自动上下架、ip删除等函数

--modules\integrates：整合各种插件和函数基础类

--modules\payment：各种支付接口插件

--modules\shipping：各种送货方式插件

8、install：系统安装文件夹，用后请删除

9、js：前台用js脚本

--calendar：日历控件

10、languages：语言文件

--zh_cn：简体中文语言文件，存储简体中文下使用的函数变量等

--zh_tw：繁体中文语言文件，存储繁体中文下使用的函数变量等

11、temp：存放临时缓存等文件

12、themes：模板文件夹，可以随意拷贝模板样式

13、wap：手机浏览程序

--includes；公用文件和函数

--templates：页面模板 *.wml文件

14、widget：搜狐博客小插件

这是个木马

ecshop本身的安全机制是没什么问题的，应该是服务器安全设置的问题

可以安装个类似安全狗的软件

不过感觉用处不大 还是自己手动设置一下比较好

把没用的服务都关掉 然后用户不要设置太高的权限

用户名密码不要太简单

文件夹权限也要设置

尤其是上传的文件夹和有上传插件的比如说在线编辑器

---