• 71阅读
  • 1回复

如何增加ECSHOP的安全性?关于ECSHOP网站安全性的几点建议

楼层直达
g-cC&)0Q  
互联网的安全大家都比较关心,而大家又都是用ECSHOP网店程序来做生意的,安全性比起企业网更加重要。 v?S~ =$.  
tUR9ti  
目前网络黑客、木马,比较泛滥的今天如何才能通过系统本身的安全性设置来防止被入侵,下面列出几点意见欢迎大家交流。 y7x[noGtR  
|DZ3=eWZ  
1,不要购买或者下载来历不明的模板、插件。 <Z6tRf;B  
来历不明的模板或插件及有可能带有后门程序,使用后被人利用后门入侵网店,盗取重要信息,以及被长期监控。或将您的订单会员资料出售给同行,后果相当严重。 Er]lObfQo  
v7kR]HU[y  
2,找人开发功能或者修改模板的时候,不要将服务器密码等重要资料交给对方 tm[e?+Iq  
将FTP,或者服务器密码交给别人是非常危险的事情,一定要对对方的资质与信用进行评估,因为有人会通过这样的方式要到密码后进行盗窃或入侵。合作结束后一定要修改掉服务器或者FTP密码 b}OOG  
$F,&7{^  
3,后台路径修改一下更安全。 [q5N 4&q\  
从ECSHOP271版本开始,可以自定义后台路径,修改方法也比较容易,比如我要将 /admin 改成 /ecmoban qp6*v&  
首先进FTP中将admin目录改成ecmoban 83ajok4E  
其次打开 data/config.php 这个程序,将所有“admin” 字段 改成 “ecmoban” [Q+qu>&HB7  
$admin_dir = "admin"; ==》 $admin_dir = "ecmoban"; Q'mLwD3>  
define('ADMIN_PATH','admin'); ==》 define('ADMIN_PATH',ecmoban); 9*lkx#  
这样就行了 qauZ-Qoc9  
0-9.u`)#yu  
4,后台主管理员的用户名和密码进行修改,默认的其他管理员删除 V&>\U?q:  
建议将管理员账号改成中文,比如原来是admin 改成“模板堂” J"TM[4^\Y  
然后密码改成15位以上,数字英文和符号混合。 6uAo0+-k  
W6>SYa  
5,检查模板文件的安全性 '\iWp?`$  
因为ecshop的模板机制是 dwt+lbi文件运行。而如果dwt文件可以直接访问对模板的安全性是不够的,容易被人直接下载你的模板。我们可以从浏览器里输入 qXQ/M]  
ecmoban/index.dwt 来测试是不是可以打开,注意这里域名换你自己的,如果可以打开页面则说明有问题。默认情况下是403错误。 +[sZE X  
如果可以打开(不是403错误,看到的是带一点点乱码的页面) k'd(H5A   
那么你可以在后台 商店设置-URL重写里 勾选简单或者复杂重写。因为伪静态的规则对于模板也有一定的保护作用,再试试 ecmoban/index.dwt 应该就打不开了。 4[eQ5$CB<u  
3Q@HP;<  
6,在后台商店设置里 限制附件上传的大小 |4F 3Gu  
后台商店设置-基本设置里 有一个附件上传大小的设置,建议将默认值改成0 # XD-a  
rkW2_UTZE  
7,删除TITLE部分的powered by ecshop字样 :Gdfpz-{?  
因为通过搜索这段话可以搜索出所有ECshop的网店,容易被熟悉EC的人入侵,不过做到前几步的话也就不怕了。 N{f4-i~  
打开includes下 lbi_main.php这个文件 K^_Mt!%  
$page_title = $GLOBALS['_CFG']['shop_title'] . ' - ' . 'Powered by ECShop'; P2+Z^J`Y>  
改成 nv9kl Q@  
$page_title = $GLOBALS['_CFG']['shop_title'] ;
安逸关键词: 浏览器
只看该作者 安逸沙发  发表于: 09-28
这段时间很多人的站被挂马,这个涉及到服务器安全和ecshop本身漏洞的问题。服务器安全就不多说什么了,本人也没有太深入的研究,关于ECshop安全我给几点建议: JOwm|%>3a  
^E~F,]dV=  
1,修改init.php文件,@ini_set('display_errors',        1);改为@ini_set('display_errors',        0); pLj[b4p9  
2,修改cls_mysql.php文件的ErrorMsg函数,注释掉那些错误提示,或者把错误写入文件。 Xna58KF/  
3,给所有$_COOKIE,$_POST,$_GET,$_REQUEST变量加sql关键字过滤。 K}|zKTh:?  
4,修改后台地址,不要使用默认的admin 59Lc-JJ  
5,如有可能去掉后台的模板管理-》库项目管理功能 B']-4X{SGa  
&?g!)O  
第1点和第2点对网站的安全性影响是非常大的,我不知道ecshop为什么要默认打开错误提示。 IC"Z.'Ph  
Ls<^z@I  
做到以上几点,我个人觉得可以使你的网站安全性提高最少一个数量级以上。
快速回复

限100 字节
安逸网提示:如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
认证码:
上一个 下一个