程序开发爱好者ecshop是开源系统,难免会有漏洞
请不要说ecshop不强大,不要说ecshop开发人员不严谨
试问哪个公司敢说自己网站绝对安全?
有个乌云漏洞网,天天在暴各大知名公司网站的安全问题,我们能做的,尽量避免和防范绝大多数后门或者漏洞!
1,设定好目录相关权限
只开放 temp,images,themes,data。4个目录的读写权限,其他目录只能读取,即为0644。
2,修改默认后台目录名称
修改默认后台文件目录admin,一般为难以猜解的目录名称,如“ab890Iadmin”,记得别忘了修改后台文件夹名称后还需要修改 data/config.php 里面的
define('ADMIN_PATH','admin');
3,修改默认数据库前缀,如果你安装的时候没有修改的话,可以参考我前面的《三种方法批量修改mysql表前缀》。
4,关闭ecshop 的sql错误提示,并把错误信息直接写入网站文件中,不直接显示到前台。
includescls_mysql.php 里面找到函数 function ErrorMsg($message = ”, $sql = ”) 修改成
function ErrorMsg($message = '', $sql = '') { echo "Some Errors....pls check log file."; if(!file_exists(ROOT_PATH.'data/sql_log')) { mkdir(ROOT_PATH.'data/sql_log'); } if ($message) { $msg="ECSHOP inforn: $message"; } else { $msg="MySQL server error report:rn".print_r($this->error_message,true); } @file_put_contents(ROOT_PATH.'data/sql_log/'.date('Y-m-d-H-i-s',time()).'.txt',$msg); exit; }
5,删除帝国备份文件夹(使用过的话),demo文件夹,install文件夹,upgrade升级文件夹(使用过的话)
6,删除ecshop自带的多余管理员
7,参考《ecshop去掉版权,去掉升级,去掉提醒完整版》
完成以上步骤,基本可以防护80%的ecshop漏洞以及后门了,剩下的就是主机的安全设置等问题了,这个度娘和谷哥里面有全方位的教程,这里就不详细阐述!
