明友网络

    ecshop网店系统在服务器上的安全设置方法

    发布时间:2015-08-03 21:23 来源:未知 编辑:www.hwz100.com

    本文由www.hwz100.com网站被挂马,phpweb被黑,dede被黑,dede网站被黑提供

     ecshop长时间任由发展,几乎停滞不前,网络上各种漏洞各种BUG层出不穷,为能防范绝大多数后门或者漏洞,ecshop模板堂提供相应设置安全方法,请参考此文。
     
    (1)设定好 ecshop目录相关权限。
    只开放 temp,images,themes,data。4个目录的读写权限,其他目录只能读取,即为0644。
     
    (2)修改ecshop默认后台目录名称。
    修改默认后台文件目录admin,一般为难以猜解的目录名称,如“zuimoban”
     
    (3)修改ecshop默认数据库前缀。
     
    (4)关闭ECSHOP错误提示,并把错误信息直接写入网站文件中,不直接显示到前台。(很重要)
    修改函数ERRORMSG函数,文件在includes\cls_mysql.php
     
    function ErrorMsg($message = '', $sql = '')
        {
            echo "Some Errors....pls check log file.";
     
            if(!file_exists(ROOT_PATH.'data/sql_log'))
            {
                mkdir(ROOT_PATH.'data/sql_log');
            }
     
            if ($message)
            {
               $msg="ECSHOP info\r\n: $message";
            }
            else
            {
                $msg="MySQL server error report:\r\n".print_r($this->error_message,true);
            }      
     
                    @file_put_contents(ROOT_PATH.'data/sql_log/'.date('Y-m-d-H-i-s',time()).'.txt',$msg);            
     
            exit;
        }
     
    (5)定期更新官方补丁。
     
    (6)删除帝国备份文件夹,demo文件夹,install等文件夹。(切记!)
     
    完成以上6则,基本可以防护80%的ECSHOP漏洞以及后门了。
     
    如果您这边是服务器操作系统,下面的文章就很重要。
    (1)修改PHP.INI 文件配置,让ECSHOP更加安全。
    # 禁用危险的函数(很重要)
    disable_functions = phpinfo, system, mail, exec
    (2)PHP.INI.可关闭PHP自带的ZIP组件;
    (3)PHP.INI其他修改
    #不将PHP错误消息暴露给外部用户
    设定display_errors = Off
    (4)设定好相关权限,比如根目录禁止写入文件。设置权限为0644.

    以上内容由www.hwz100.com网站被跳转,shopex被黑,网站被黑,ecshop被黑发布,转载请注明。

    如果觉得麻烦,可以联系我们进行处理