本教程需要具備PHP技術(shù)或者服務(wù)器運(yùn)維技術(shù)人員
網(wǎng)站安全首選需要讓能通過web域名訪問的目錄都設(shè)置為不可寫入權(quán)限,這樣能有力保證服務(wù)器不被惡意寫入非法的文件。
本教程例子中的網(wǎng)站web目錄假設(shè)為:/www/www.xxx.com/
插件地址:http://www.zbshanke.com/shop/app/399.html
一、分離cache目錄
cache目錄必須具備可寫入權(quán)限,默認(rèn)可以通過web訪問其內(nèi)容,推薦把cache目錄分離到其他目錄(SSD硬盤佳)
1、將cache目錄移動(dòng)到指定目錄,例如/www/fenli/cache/
2、打開web目錄的 index.php
// 此代碼放到【執(zhí)行主程序】代碼之前
define('WRITEPATH', '/www/fenli/cache/');3、賦予新的cache可讀寫權(quán)限,如果網(wǎng)站正常訪問就表示ok了
二、分離dayrui目錄
dayrui目錄是程序文件目錄,存儲(chǔ)的php業(yè)務(wù)邏輯程序文件,通常情況下需要具備可讀寫權(quán)限
1、將dayrui目錄移動(dòng)到指定目錄,例如/www/fenli/dayrui/
2、打開web目錄的 index.php
// 此代碼放到【執(zhí)行主程序】代碼之前
define('FCPATH', '/www/fenli/dayrui/');3、賦予新的dayrui只讀權(quán)限,如果網(wǎng)站正常訪問就表示ok了
三、分離模板template目錄
template目錄是存放模板文件的,實(shí)際項(xiàng)目中不建議將其暴露在web目錄中,推薦進(jìn)行分離
1、將template目錄移動(dòng)到指定目錄,例如/www/fenli/template/
2、打開web目錄的 index.php
// 此代碼放到【執(zhí)行主程序】代碼之前
define('TPLPATH', '/www/fenli/template/');3、賦予新的template只讀權(quán)限,如果網(wǎng)站正常訪問就表示ok了
四、分離附件存儲(chǔ)目錄
uploadfile目錄是附件存放的目錄,安全起見,強(qiáng)烈推薦進(jìn)行分離
1、將uploadfile目錄移動(dòng)到指定目錄,例如/www/fenli/uploadfile/
2、再web服務(wù)器中為此目錄綁定一個(gè)域名,例如:
www.abc-file.com
頂級(jí)域名二級(jí)域名都可以
3、必須設(shè)置此網(wǎng)站不能執(zhí)行php代碼,以寶塔BT服務(wù)器為例的配置:
純靜態(tài)的目的是為了此目錄下的不允許執(zhí)行php文件,增強(qiáng)被非法寫入的安全性
4、進(jìn)入cms后臺(tái),系統(tǒng),附件設(shè)置
5、保存再更新緩存后,測(cè)試上傳附件試試是否正常
五、頭像分離存儲(chǔ)
/api/member/目錄是頭像存放的目錄,安全起見,強(qiáng)烈推薦進(jìn)行分離
1、將/api/member/目錄移動(dòng)到指定目錄,例如/www/fenli/touxiang/
2、再web服務(wù)器中為此目錄綁定一個(gè)域名,例如:
www.abc-touxiang.com
頂級(jí)域名二級(jí)域名都可以
3、必須設(shè)置此網(wǎng)站不能執(zhí)行php代碼,以寶塔BT服務(wù)器為例的配置:
4、進(jìn)入cms后臺(tái),系統(tǒng),附件設(shè)置,頭像分離設(shè)置
5、保存再更新緩存后,測(cè)試上傳頭像試試是否正常
六、給web目錄設(shè)置只讀權(quán)限
通過上面一到五的配置,已經(jīng)把能具有寫入權(quán)限的目錄分離出去了,現(xiàn)在web目錄剩下的文件都可以不需要寫入權(quán)限
/www/www.xxx.com/
現(xiàn)在為web目錄設(shè)置,只讀權(quán)限,例如555權(quán)限。
七、開啟跨站驗(yàn)證
開啟之后將有效的防范站外攻擊提交POST
八、將后臺(tái)與web分離
把后臺(tái)入口不要放在web,單獨(dú)域名作為后臺(tái)登錄
需要安裝《系統(tǒng)安全》插件,設(shè)置后臺(tái)的目錄和域名即可,這樣后臺(tái)就徹底的隱藏了
友情提示:如果網(wǎng)站需要生成靜態(tài)文件,需要提前為web目錄開啟讀寫權(quán)限,生成完畢后,再設(shè)置只讀權(quán)限