『壹』 ecshop商城的sql資料庫地址和密碼泄露給壞人會導致什麼嚴重後果(後台和ftp密碼無泄露情況下)
關於ECSHOP網站安全性的幾點建議(ecmoban整理)
互聯網的安全大家都比較關心,而大家又都是用ECSHOP網店程序來做生意的,安全性比起企業網更加重要。
目前網路黑客、木馬,比較泛濫的今天如何才能通過系統本身的安全性設置來防止被入侵,下面列出幾點意見歡迎大家交流。
1,不要購買或者下載來歷不明的模板、插件。
來歷不明的模板或插件及有可能帶有後門程序,使用後被人利用後門入侵網店,盜取重要信息,以及被長期監控。或將您的訂單會員資料出售給同行,後果相當嚴重。
2,找人開發功能或者修改模板的時候,不要將伺服器密碼等重要資料交給對方
將FTP,或者伺服器密碼交給別人是非常危險的事情,一定要對對方的資質與信用進行評估,因為有人會通過這樣的方式要到密碼後進行盜竊或入侵。合作結束後一定要修改掉伺服器或者FTP密碼
3,後台路徑修改一下更安全。
從ECSHOP271版本開始,可以自定義後台路徑,修改方法也比較容易,比如我要將 /admin 改成 /ecmoban
首先進FTP中將admin目錄改成ecmoban
其次打開 data/config.php 這個程序,將所有「admin」 欄位 改成 「ecmoban」
$admin_dir = "admin"; ==》 $admin_dir = "ecmoban";
define('ADMIN_PATH','admin'); ==》 define('ADMIN_PATH',ecmoban);
這樣就行了
4,後台主管理員的用戶名和密碼進行修改,默認的其他管理員刪除
建議將管理員賬號改成中文,比如原來是admin 改成「模板堂」
然後密碼改成15位以上,數字英文和符號混合。
5,檢查模板文件的安全性
因為ecshop的模板機制是 dwt+lbi文件運行。而如果dwt文件可以直接訪問對模板的安全性是不夠的,容易被人直接下載你的模板。我們可以從瀏覽器里輸入
ecmoban/index.dwt 來測試是不是可以打開,注意這里域名換你自己的,如果可以打開頁面則說明有問題。默認情況下是403錯誤。
如果可以打開(不是403錯誤,看到的是帶一點點亂碼的頁面)
那麼你可以在後台 商店設置-URL重寫里 勾選簡單或者復雜重寫。因為偽靜態的規則對於模板也有一定的保護作用,再試試 ecmoban/index.dwt 應該就打不開了。
6,在後台商店設置里 限制附件上傳的大小
後台商店設置-基本設置里 有一個附件上傳大小的設置,建議將默認值改成0
7,刪除TITLE部分的powered by ecshop字樣
因為通過搜索這段話可以搜索出所有ECshop的網店,容易被熟悉EC的人入侵,不過做到前幾步的話也就不怕了。
打開includes下 lbi_main.php這個文件
$page_title = $GLOBALS['_CFG']['shop_title'] . ' - ' . 'Powered by ECShop';
改成
$page_title = $GLOBALS['_CFG']['shop_title'] ;
PS:為了感謝ECSHOP系統建議保留底部版權。