1223阅读
1回复

如何增加ECSHOP的安全性？关于ECSHOP网站安全性的几点建议

楼层直达

只看楼主更多操作安逸楼主发表于: 2018-09-28

互联网的安全大家都比较关心，而大家又都是用ECSHOP网店程序来做生意的，安全性比起企业网更加重要。

目前网络黑客、木马，比较泛滥的今天如何才能通过系统本身的安全性设置来防止被入侵，下面列出几点意见欢迎大家交流。

1，不要购买或者下载来历不明的模板、插件。
来历不明的模板或插件及有可能带有后门程序，使用后被人利用后门入侵网店，盗取重要信息，以及被长期监控。或将您的订单会员资料出售给同行，后果相当严重。

2，找人开发功能或者修改模板的时候，不要将服务器密码等重要资料交给对方
将FTP，或者服务器密码交给别人是非常危险的事情，一定要对对方的资质与信用进行评估，因为有人会通过这样的方式要到密码后进行盗窃或入侵。合作结束后一定要修改掉服务器或者FTP密码

3，后台路径修改一下更安全。
从ECSHOP271版本开始，可以自定义后台路径，修改方法也比较容易，比如我要将 /admin 改成 /ecmoban
首先进FTP中将admin目录改成ecmoban
其次打开 data/config.php 这个程序，将所有“admin” 字段改成 “ecmoban”
$admin_dir = "admin"; ==》 $admin_dir = "ecmoban";
define('ADMIN_PATH','admin'); ==》 define('ADMIN_PATH',ecmoban);
这样就行了

4，后台主管理员的用户名和密码进行修改，默认的其他管理员删除
建议将管理员账号改成中文，比如原来是admin 改成“模板堂”
然后密码改成15位以上，数字英文和符号混合。

5，检查模板文件的安全性
因为ecshop的模板机制是 dwt+lbi文件运行。而如果dwt文件可以直接访问对模板的安全性是不够的，容易被人直接下载你的模板。我们可以从浏览器里输入
ecmoban/index.dwt 来测试是不是可以打开，注意这里域名换你自己的，如果可以打开页面则说明有问题。默认情况下是403错误。
如果可以打开（不是403错误，看到的是带一点点乱码的页面）
那么你可以在后台商店设置-URL重写里勾选简单或者复杂重写。因为伪静态的规则对于模板也有一定的保护作用，再试试 ecmoban/index.dwt 应该就打不开了。

6，在后台商店设置里限制附件上传的大小
后台商店设置-基本设置里有一个附件上传大小的设置，建议将默认值改成0

7，删除TITLE部分的powered by ecshop字样
因为通过搜索这段话可以搜索出所有ECshop的网店，容易被熟悉EC的人入侵，不过做到前几步的话也就不怕了。
打开includes下 lbi_main.php这个文件
$page_title = $GLOBALS['_CFG']['shop_title'] . ' - ' . 'Powered by ECShop';
改成
$page_title = $GLOBALS['_CFG']['shop_title'] ;

回复引用

举报顶端

云烟

级别: 安逸大版主

只看该作者安逸沙发发表于: 2018-09-28

这段时间很多人的站被挂马，这个涉及到服务器安全和ecshop本身漏洞的问题。服务器安全就不多说什么了，本人也没有太深入的研究，关于ECshop安全我给几点建议：

1，修改init.php文件,@ini_set('display_errors', 1);改为@ini_set('display_errors', 0);
2，修改cls_mysql.php文件的ErrorMsg函数，注释掉那些错误提示，或者把错误写入文件。
3，给所有$_COOKIE,$_POST,$_GET,$_REQUEST变量加sql关键字过滤。
4，修改后台地址，不要使用默认的admin
5，如有可能去掉后台的模板管理－》库项目管理功能

第1点和第2点对网站的安全性影响是非常大的，我不知道ecshop为什么要默认打开错误提示。

做到以上几点，我个人觉得可以使你的网站安全性提高最少一个数量级以上。

回复引用

举报顶端

发帖回复

« 返回列表上一主题下一主题


	http://www.cnease.cn 访问内容超出本站范围，不能确定是否安全


	关闭选中1篇全选

如何增加ECSHOP的安全性？关于ECSHOP网站安全性的几点建议

安逸相关话题