安全防范基本方式

安全防范基本方式,第1张

PHPCMSv9安全设置、防范教程

本文详细介绍了PHPCMSv9的关键安全策略,防范实例教程,有必要的盆友可以参考以下。

一、设置目录权限很重要:可以合理阻止网络黑客提交木马病毒文件。

如果使用chmod644*-R,php文件将没有浏览权限。
如果是基于chmod755*-R,php文件的权限会更高。

因此,需要分别设置目录权限和文件权限:

Linux网络服务器权限:常用说明:

find/path-typef-execchmod644{}\;//将文件权限设置为644
find/path-typed-execchmod755{}\;//将目录权限设置为755

设置完成后,根据命令将目录和文件用户更改为root:chownroot:root*-RR。

那样会更安全。

FTP客户,明明用的是linux服务器。Windows必须登录到网络服务器进行设置。
转到phpcms安装的根目录,选择所有文件:
设置数据值:755,选择:选择递归解决方案子目录,然后选择所有文件就像目录
,数据值:644,选择递归解决方案子目录,只应用于文件
如果设置错误,重新设置。

二。Linuxfind命令搜索异常的特洛伊木马病毒文件

搜索:在30天内更改的文件
查找。/-mtime-30-typef-execls-l{}\;
查找目录中的所有txt文件
查找。/-名称"*。txt”-print
查找目录中的所有txt文件,删除
Find。/-名称"*。txt"-exeCRM-RF{}\;
查找目录中的所有php文件,找到30天内更改过的此类文件
。/-名称"*。PHP"-mtime-30-typef-execls-l{}\;
在目录中查找所有php文件。另外,考虑
find。/-名称"*。PHP"-mtime-30-mtime1-typef-execls-l{}\;

三。根据apache配置限制:

1.禁止在apache下的目录中实现PHP。
根据。htaccess文件放在目录下。
这种方法会把php文件作为附件,免费下载。此外,还可以根据电脑浏览器浏览文件。
php_flag引擎关闭

应用场景:put
\UploadFile\
\Statistics\
\HTML\
\PHPSSO_Server\UploadFile\
\PHPSSO_Server\Statistics\

2.严禁根据电脑浏览器浏览所有文件。

根据那个。htaccess文件放在目录下。
^(.重写器上的重写引擎*)/index.html

应用场景:
\缓存\
\phpso_server\缓存\

3.严禁给php配备跨目录访问权限:

云主机供应示例:
serveradminroot@phpip.com
documentroot/data/wwwroot/www
ServerNamewww.phpip.com
<;directory/data/wwwroot/www>;
Optionsfollowsymlinks
AllowoverrideOptionsFileInfo
OrderAllow,deny
Allowfromall
PHP_admin_valueopen_basedir/data/wwwroot/www/:/var/tmp/
directoryindexindex.htm·index.html·index.php
<;/Directory>;
errorlog"|/usr/sbin/rotatelogs/data/logs/%m_%d_www.phpip.com-error_log86400480"/br/]customlog"|/usr/sbin/rotatelogs/data/logs/%m_%d_www.phpip.com-access_log86400480"common
<;/virtualhost>;


4。按天存储apache日志:

参考上面的文件:
错误日志"|/usr/sbin/rotatelogs/data/logs/%m_%d_www.phpip.com-error_log86400480"|/usr/sbin/rotatelogs/data/logs/%m_%d_www.phpip.com-access_log86400480"common

文件权限
安装文件
删除/安装安装目录
文件权限
phpcms安装完成后,当您不需要对系统核心配置文件进行更改时,请将phpcms的文件夹属性更改为644(请在Windows网络服务器下立即登录网络服务器时将其设置为“写保护”)
云虚拟主机 *** 作面板-安全策略-设置执行/加载权限web/phpcms取消此目录的执行和加载权限,转ftp将无法提交或更改所有文件,URL也无法再缓存文件,所以在受到极端攻击的情况下可以这样做。由于云虚拟主机网络服务器上有很多服务器空,如果别人没有权限撤销,网络黑客就有可能找到系统漏洞,进行跨站改动。
加载权限时可以查看更多权限。加载权限是向ftp提交项的权限,实现权限是asp和php脚本的权限。如果没必要,就不用打开了。为了更好的网站安全,考虑。
在线文档编辑
缓存\配置\system.php
'TPL_edit'=>;1,//是否允许在线文档编辑模板
将1改为0?取消联机文档编辑模板
的后台管理,出现错误
缓存\配置\system.php
'debug'=>;1,//是否显示信息。调试信息
1已更改为0
。可以,是指前台出现sql不正确等信息内容,实际错误代码无法显示。用一行文字代替程序流的信息内容不容易暴露
。后台管理设置
账户安全:将后台管理详细地址admin.php改为自定义,登录名无需。在前台发布文章的写作和创作者中不需要显示信息的真实登录名。
安全设备:设置-安全设备(后台管理频率、间距、网站域名<慎用>:)
角色权限:设置-角色管理方式(团队成员、权限、渠道)
动态密码认证:设置-管理方式-动态口令卡,设置登录后,必须输入动态密码(已采用)
病毒查杀:扩展-病毒查杀
实际 *** 作日志:扩展-后台管理实际 *** 作日志
前台接待安全
会员管理系统
申请注册:配备客户-vip会员管控模块(是否允许申请注册,邮箱
权限:客户-管理方式vip会员群(分级权限)
文章投稿:一级渠道变更-权限设置,适用于子渠道(访客不工作流引擎:一级审批
用户中心:在线提交,删除后转为连接
前台接收文章内容:创建人姓名(管理者显示信息站名)
好友链
后台管理控制模块配备,不允许申请处理。首页删除申请处理的连接通道,避免故意提交。就把QQ留在最下面
升级补丁
自动升级:做好数据备份,扩展-自动升级,选择升级。注意,你不需要选择模板,否则你更改的所有模板都将成为默认设置。部分升级后的后台管理会恢复,可以再改。升级后,根目录将升级安装目录并删除它。
手动升级:备份数据,打官网补丁,检查更换。
维护与杀毒
维护加速:360网站卫士,网站安全检测。Speedmusic
系统漏洞杀毒:360网站检测,网站安全检测。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/772943.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-05-03
下一篇 2022-05-03

发表评论

登录后才能评论

评论列表(0条)

保存