《Zen Cart 网店安全(1).doc》由会员分享,可在线阅读,更多相关《Zen Cart 网店安全(1).doc(3页珍藏版)》请在金锄头文库上搜索。
1、强烈建议所有Zen Cart用户再次阅读本贴,保证网店的安全。请检查核实更新所有安全补丁补丁列表 http:/www.zen- Cart网店安全的几个步骤: 1. 删除以下几个目录和文件安装完成后,请从服务器上删除以下目录和文件:- /docs- /extras (重要)- /zc_install- /install.txt (这是文件)另外,如果你的网店不是卖可下载类的产品,请同时删除以下文件和目录:- /download- /media- /pub不要只是改名目录,万一别人知道了目录名,就不安全。如果删除了 download 目录,商店设置属性设置允许下载,设置为:false2. 设置co
2、nfigure.php文件为只读将两个configure.php文件用CHMOD(设置权限)命令改为只读很重要。通常就是设置为644,有时是444。如果无法通过FTP程序修改,可以用主机商提供的文件管理工具来修改。如果您用的是Windows服务器,只要将文件设置为所有人 只读,如果是在IIS下,是IUSR_xxxxx 用户,或者System帐号,在Apache下,是apache user帐号。3. 改名/admin目录修改admin目录名,用一个很难猜测到的名字。(在进行下面的修改前,请备份文件和数据库。)A- 用文本编辑器,例如记事本,打开文件admin/includes/configure
3、.php。将所有出现/admin/的地方改成自己的管理目录名。需要修改的部分:define(DIR_WS_ADMIN, /admin/);define(DIR_WS_CATALOG, /);define(DIR_WS_HTTPS_ADMIN, /admin/);define(DIR_WS_HTTPS_CATALOG, /);需要修改的部分:define(DIR_FS_ADMIN, /home/ /home/ 找到Zen Cart的/admin/目录,将该目录名按照admin/includes/configure.php中的定义作相应修改。4. 删除不用的管理员帐号管理页面-工具-管理设置在管理
4、页面下,打开工具菜单,选择管理设置- 检查所有没有使用的管理员帐号并删除。特别注意是否有Demo帐号。5. 强化管理员密码一定要使用一定强度、不易猜测的密码。密码强制6位以上字母和数字。!加入验证码功能!要修改管理员密码,进入管理页面-工具-管理设置,点击重置密码按钮,或点击那个想回收箱的图标。建议使用至少8位密码。密码最好包含字母、数字、符合、以及大小写等。6. 保护自定义页面 html_includes中的内容定义好您的自定义页面后,(管理页面-工具-页面编辑), 您要保护这些文件:A. 用FTP软件下载备份,这些文件位于/includes/languages/schinese/html_
5、includes目录。B. 修改文件 CHMOD 644 或 444 (或 Windows下为“只读”)。见上面的CHMOD说明/includes/languages/schinese/html_includes网店安全相关贴子:强化Zen Cart 网店安全网店系统的安全不可忽视,请参考以下安全措施:1. 利用 .htaccess 限制后台访问者的IP,方法很简单。打开 /admin/.htaccess 文件,在最后加入:代码: 全选 Order Deny,AllowDeny from allAllow from 210.123.118.108Allow from 210.123.118.1
6、09其中,210.123.118.108、210.123.118.109 是你自己的IP,这样仅限该IP能访问管理页面。2. 使用VPS、独立主机的zen cart网店,请给 Apache 加上 mod_security 模块 (强烈推荐)以 CentOS 系统为例,通过第三方 EPEL Repository 来安装:首先导入签名:rpm -import http:/ Utter Ramblings Repo,创建文件 /etc /yum.repos.d/ utterramblings.repo,粘帖以下内容:代码: 全选 utterramblings name=Jasons Utter Ramblings Repo baseurl=http:/ enabled=1 gpgcheck=1 gpgkey=http:/ 全选 yum install mod_security重启Apache
