本教程需要具備PHP技術或者服務器運維技術人員
網(wǎng)站安全首選需要讓能通過web域名訪問的目錄都設置為不可寫入權限����,這樣能有力保證服務器不被惡意寫入非法的文件。
本教程例子中的網(wǎng)站web目錄假設為:/www/www.xxx.com/
插件地址:http://223987.com/shop/app/399.html
一�、分離cache目錄
cache目錄必須具備可寫入權限,默認可以通過web訪問其內(nèi)容���,推薦把cache目錄分離到其他目錄(SSD硬盤佳)
1���、將cache目錄移動到指定目錄,例如/www/fenli/cache/
2�、打開web目錄的 index.php
// 此代碼放到【執(zhí)行主程序】代碼之前
define('WRITEPATH', '/www/fenli/cache/');3、賦予新的cache可讀寫權限�,如果網(wǎng)站正常訪問就表示ok了
二、分離dayrui目錄
dayrui目錄是程序文件目錄��,存儲的php業(yè)務邏輯程序文件����,通常情況下需要具備可讀寫權限
1����、將dayrui目錄移動到指定目錄���,例如/www/fenli/dayrui/
2�、打開web目錄的 index.php
// 此代碼放到【執(zhí)行主程序】代碼之前
define('FCPATH', '/www/fenli/dayrui/');3���、賦予新的dayrui只讀權限,如果網(wǎng)站正常訪問就表示ok了
三����、分離模板template目錄
template目錄是存放模板文件的,實際項目中不建議將其暴露在web目錄中�����,推薦進行分離
1�����、將template目錄移動到指定目錄��,例如/www/fenli/template/
2���、打開web目錄的 index.php
// 此代碼放到【執(zhí)行主程序】代碼之前
define('TPLPATH', '/www/fenli/template/');3��、賦予新的template只讀權限���,如果網(wǎng)站正常訪問就表示ok了
四�����、分離附件存儲目錄
uploadfile目錄是附件存放的目錄�����,安全起見�,強烈推薦進行分離
1����、將uploadfile目錄移動到指定目錄,例如/www/fenli/uploadfile/
2���、再web服務器中為此目錄綁定一個域名���,例如:
www.abc-file.com
頂級域名二級域名都可以
3、必須設置此網(wǎng)站不能執(zhí)行php代碼��,以寶塔BT服務器為例的配置:
純靜態(tài)的目的是為了此目錄下的不允許執(zhí)行php文件,增強被非法寫入的安全性
4�、進入cms后臺,系統(tǒng)�����,附件設置
5�、保存再更新緩存后,測試上傳附件試試是否正常
五�、頭像分離存儲
/api/member/目錄是頭像存放的目錄,安全起見���,強烈推薦進行分離
1、將/api/member/目錄移動到指定目錄����,例如/www/fenli/touxiang/
2、再web服務器中為此目錄綁定一個域名���,例如:
www.abc-touxiang.com
頂級域名二級域名都可以
3�����、必須設置此網(wǎng)站不能執(zhí)行php代碼�����,以寶塔BT服務器為例的配置:
4��、進入cms后臺��,系統(tǒng)�,附件設置,頭像分離設置
5�����、保存再更新緩存后����,測試上傳頭像試試是否正常
六、給web目錄設置只讀權限
通過上面一到五的配置����,已經(jīng)把能具有寫入權限的目錄分離出去了,現(xiàn)在web目錄剩下的文件都可以不需要寫入權限
/www/www.xxx.com/
現(xiàn)在為web目錄設置�����,只讀權限,例如555權限���。
七���、開啟跨站驗證
開啟之后將有效的防范站外攻擊提交POST
八、將后臺與web分離
把后臺入口不要放在web���,單獨域名作為后臺登錄
需要安裝《系統(tǒng)安全》插件�,設置后臺的目錄和域名即可�,這樣后臺就徹底的隱藏了
友情提示:如果網(wǎng)站需要生成靜態(tài)文件,需要提前為web目錄開啟讀寫權限���,生成完畢后���,再設置只讀權限
