一、目錄許可權設定很重要:可以有效防範黑客上傳木馬檔案.
如果通過 chmod 644 * -r 的話,php檔案就沒有許可權訪問了。
如果通過chmod 755 * -r 的話,php檔案的許可權就高了。
所以就需要分開設定目錄許可權和檔案許可權:
linux 伺服器許可權:經常要用到的命令:
find /path -type f -exec chmod 644 {} \; //設定檔案許可權為644
find /path -type d -exec chmod 755 {} \; //設定目錄許可權為755
設定完成後,再通過命令:chown root:root * -r 將目錄和檔案的所有者改為root。
這樣就更加安全了。
ftp使用者,確定使用的是linux主機。windows需要登入到伺服器中設定。
進入到phpcms 安裝根目錄,選取所有檔案:
設定數字值為:755,同時選定:選擇遞迴處理子目錄,只應用到目錄
同樣再選擇所有檔案,數字值為:644,選擇遞迴處理子目錄,只應用到檔案
如果設定錯了,重新再設定就可以了。
二、linux find命令 查詢可疑的木馬檔案
查詢:30天內被修改的檔案
find ./ -mtime -30 -type f -exec ls -l {} \;
找到目錄下所有的txt檔案
find ./ -name "*.txt" -print
找到目錄下所有的txt檔案並刪除
find ./ -name "*.txt" -exec rm -rf {} \;
找到目錄下所有的php檔案 並且在30天之類被修改的檔案
find ./ -name "*.php" -mtime -30 -typef -exec ls -l {} \;
找到目錄下所有的php檔案,同時,滿足 30天以內,1天之前的
find ./ -name "*.php" -mtime -30 -mtime +1 -type f -execls -l {} \;
三、通過apache配置限定:
1、apache 下 禁止目錄執行php
通過目錄下面放置 .htaccess檔案來限制許可權。
php_flag engine off
使用場景:在下面目錄放置
\uploadfile\
\statics\
\html\
\phpsso_server\uploadfile\
\phpsso_server\statics\
2、禁止通過瀏覽器訪問所有檔案
通過目錄下面放置 .htaccess檔案來限制許可權。
rewriteengine on
rewriterule ^(.*) /index.html
使用場景:
\caches\
\phpsso_server\caches\
3、禁止php跨目錄瀏覽許可權配置:
虛擬主機配置樣例:
serveradmin [email protected]4、按天存放apache日誌:documentroot /data/wwwroot/www
servername www.phpip.com
options followsymlinks
allowoverride options fileinfo
order allow,deny
allow from all
php_admin_value open_basedir /data/wwwroot/www/:/var/tmp/
directoryindex index.htm index.html index.php
errorlog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-error_log 86400 480"
customlog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-access_log 86400 480" common
errorlog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-error_log 86400 480"檔案許可權customlog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-access_log 86400 480" common
安裝檔案
刪除/install安裝目錄
檔案許可權
phpcms安裝結束以後,在您不需要對系統核心配置檔案進行修改時,請將phpcms資料夾屬性修改為644(windows伺服器下登入伺服器直接修改時請設定為「唯讀」)
虛擬主機控制面板-安全設定-設定執行/寫入許可權 web/phpcms取消此目錄的執行、寫入許可權 關閉**即web的寫入許可權ftp將無法上傳或修改任何檔案,同時**無法再發文快取,遭受惡劣攻擊時可以這麼做。因為虛擬主機伺服器上有非常多的**空間,如果別人沒有取消許可權,黑客或許可以找到漏洞進行跨站修改。
caches\configs\system.php
錯誤提示
caches\configs\system.php
'debug' => 1, //是否顯示除錯資訊
1修改為0
開了就是如果前台出現了sql錯誤等資訊 就不顯示具體的錯誤** 用一行文字代替
不會暴露程式資訊
後台設定
安全配置:設定-安全配置(後台登陸次數、間隔、網域名稱《慎用》)
角色許可權:設定-角色管理(成員、許可權、欄目)
口令驗證:設定-管理員管理-口令卡,設定後登入時需要輸入動態密碼(選用)
木馬查殺:擴充套件-木馬查殺
操作日誌:擴充套件-後台操作日誌
前台安全
會員系統
註冊:使用者-會員模組配置(是否允許註冊、郵箱手機驗證、驗證碼等)
許可權:使用者-管理會員組(組別許可權)
投稿:一級欄目修改-許可權設定,應用到子欄目(遊客不允許);工作流:一級審核
前台文章:作者暱稱(管理員顯示站名)
後台模組配置不允許申請,首頁刪除申請鏈結入口,防止惡意提交,頁尾留qq就行了
公升級補丁
保護查殺
Phpcms關聯鏈結管理設定教程
一 新增 關聯鏈結是指在文章內容中找到 關聯鏈結名稱 加上 關聯鏈結 如,我們新增乙個www.cppcns.com 關聯到 http www.baidu.com 在發布文章的時候如果出現 這個關聯子 就是替換成 a class keylink target blank href 程式設計客棧du.c...
PHPCMS手機站偽靜態設定詳細教程
1 開啟 phpcms modules wap functions global.func.php 找到裡面的這兩個函式,如下圖所示的注釋掉的那行 在下面加入一行 function list url typeid function show url catid,id,typeid return wa...
PHPCMS手機站偽靜態設定詳細教程
1 開啟 phpcms modules wap functions global.func.php 找到裡面的這兩個函式,如下圖所示的注釋掉的那行 在下面加入一行 function list url typeid function show url catid,id,typeid return wa...