安全防范基本方式

PHPCMSv9安全设置、防范教程

本文详细介绍了PHPCMSv9的关键安全策略，防范实例教程，有必要的盆友可以参考以下。

一、设置目录权限很重要:可以合理阻止网络黑客提交木马病毒文件。

如果使用chmod644*-R，php文件将没有浏览权限。
如果是基于chmod755*-R，php文件的权限会更高。

因此，需要分别设置目录权限和文件权限:

Linux网络服务器权限:常用说明:

find/path-typef-execchmod644{}\；//将文件权限设置为644
find/path-typed-execchmod755{}\；//将目录权限设置为755

设置完成后，根据命令将目录和文件用户更改为root:chownroot:root*-RR。

那样会更安全。

FTP客户，明明用的是linux服务器。Windows必须登录到网络服务器进行设置。
转到phpcms安装的根目录，选择所有文件:
设置数据值:755，选择:选择递归解决方案子目录，然后选择所有文件就像目录
，数据值:644，选择递归解决方案子目录，只应用于文件
如果设置错误，重新设置。

二。Linuxfind命令搜索异常的特洛伊木马病毒文件

搜索:在30天内更改的文件
查找。/-mtime-30-typef-execls-l{}\；
查找目录中的所有txt文件
查找。/-名称"*。txt”-print
查找目录中的所有txt文件，删除
Find。/-名称"*。txt"-exeCRM-RF{}\；
查找目录中的所有php文件，找到30天内更改过的此类文件
。/-名称"*。PHP"-mtime-30-typef-execls-l{}\；
在目录中查找所有php文件。另外，考虑
find。/-名称"*。PHP"-mtime-30-mtime1-typef-execls-l{}\；

三。根据apache配置限制:

1.禁止在apache下的目录中实现PHP。
根据。htaccess文件放在目录下。
这种方法会把php文件作为附件，免费下载。此外，还可以根据电脑浏览器浏览文件。
php_flag引擎关闭

应用场景:put
\UploadFile\
\Statistics\
\HTML\
\PHPSSO_Server\UploadFile\
\PHPSSO_Server\Statistics\

2.严禁根据电脑浏览器浏览所有文件。

根据那个。htaccess文件放在目录下。
^(.重写器上的重写引擎*)/index.html

应用场景:
\缓存\
\phpso_server\缓存\

3.严禁给php配备跨目录访问权限:

云主机供应示例:
[email protected]
documentroot/data/wwwroot/www
ServerNamewww.phpip.com
<；directory/data/wwwroot/www>；
Optionsfollowsymlinks
AllowoverrideOptionsFileInfo
OrderAllow，deny
Allowfromall
PHP_admin_valueopen_basedir/data/wwwroot/www/:/var/tmp/
directoryindexindex.htm·index.html·index.php
<；/Directory>；
errorlog"|/usr/sbin/rotatelogs/data/logs/%m_%d_www.phpip.com-error_log86400480"/br/]customlog"|/usr/sbin/rotatelogs/data/logs/%m_%d_www.phpip.com-access_log86400480"common
<；/virtualhost>；

4。按天存储apache日志:

参考上面的文件:
错误日志"|/usr/sbin/rotatelogs/data/logs/%m_%d_www.phpip.com-error_log86400480"|/usr/sbin/rotatelogs/data/logs/%m_%d_www.phpip.com-access_log86400480"common

文件权限
安装文件
删除/安装安装目录
文件权限
phpcms安装完成后，当您不需要对系统核心配置文件进行更改时，请将phpcms的文件夹属性更改为644(请在Windows网络服务器下立即登录网络服务器时将其设置为“写保护”)
云虚拟主机 *** 作面板-安全策略-设置执行/加载权限web/phpcms取消此目录的执行和加载权限，转ftp将无法提交或更改所有文件，URL也无法再缓存文件，所以在受到极端攻击的情况下可以这样做。由于云虚拟主机网络服务器上有很多服务器空，如果别人没有权限撤销，网络黑客就有可能找到系统漏洞，进行跨站改动。
加载权限时可以查看更多权限。加载权限是向ftp提交项的权限，实现权限是asp和php脚本的权限。如果没必要，就不用打开了。为了更好的网站安全，考虑。
在线文档编辑
缓存\配置\system.php
'TPL_edit'=>；1，//是否允许在线文档编辑模板
将1改为0？取消联机文档编辑模板
的后台管理，出现错误
缓存\配置\system.php
'debug'=>；1，//是否显示信息。调试信息
1已更改为0
。可以，是指前台出现sql不正确等信息内容，实际错误代码无法显示。用一行文字代替程序流的信息内容不容易暴露
。后台管理设置
账户安全:将后台管理详细地址admin.php改为自定义，登录名无需。在前台发布文章的写作和创作者中不需要显示信息的真实登录名。
安全设备:设置-安全设备(后台管理频率、间距、网站域名<慎用>:)
角色权限:设置-角色管理方式(团队成员、权限、渠道)
动态密码认证:设置-管理方式-动态口令卡，设置登录后，必须输入动态密码(已采用)
病毒查杀:扩展-病毒查杀
实际 *** 作日志:扩展-后台管理实际 *** 作日志
前台接待安全
会员管理系统
申请注册:配备客户-vip会员管控模块(是否允许申请注册，邮箱
权限:客户-管理方式vip会员群(分级权限)
文章投稿:一级渠道变更-权限设置，适用于子渠道(访客不工作流引擎:一级审批
用户中心:在线提交，删除后转为连接
前台接收文章内容:创建人姓名(管理者显示信息站名)
好友链
后台管理控制模块配备，不允许申请处理。首页删除申请处理的连接通道，避免故意提交。就把QQ留在最下面
升级补丁
自动升级:做好数据备份，扩展-自动升级，选择升级。注意，你不需要选择模板，否则你更改的所有模板都将成为默认设置。部分升级后的后台管理会恢复，可以再改。升级后，根目录将升级安装目录并删除它。
手动升级:备份数据，打官网补丁，检查更换。
维护与杀毒
维护加速:360网站卫士，网站安全检测。Speedmusic
系统漏洞杀毒:360网站检测，网站安全检测。