ecshop安全的那些事

ecshop是开源系统,难免会有漏洞
请不要说ecshop不强大,不要说ecshop开发人员不严谨
试问哪个公司敢说自己网站绝对安全?

有个乌云漏洞网,天天在暴各大知名公司网站的安全问题,我们能做的,尽量避免和防范绝大多数后门或者漏洞!

1,设定好目录相关权限

只开放 temp,images,themes,data。4个目录的读写权限,其他目录只能读取,即为0644。

2,修改默认后台目录名称

修改默认后台文件目录admin,一般为难以猜解的目录名称,如“ab890Iadmin”,记得别忘了修改后台文件夹名称后还需要修改 data/config.php 里面的

define('ADMIN_PATH','admin');

3,修改默认数据库前缀,如果你安装的时候没有修改的话,可以参考我前面的《三种方法批量修改mysql表前缀》。

4,关闭ecshop 的sql错误提示,并把错误信息直接写入网站文件中,不直接显示到前台。

includescls_mysql.php 里面找到函数 function ErrorMsg($message = '', $sql = '') 修改成

function ErrorMsg($message = '', $sql = '')
{
	echo "Some Errors....pls check log file.";

	if(!file_exists(ROOT_PATH.'data/sql_log'))
	{
		mkdir(ROOT_PATH.'data/sql_log');
	}

	if ($message)
	{
	   $msg="ECSHOP inforn: $message";
	}
	else
	{
		$msg="MySQL server error report:rn".print_r($this->error_message,true);
	}       

	@file_put_contents(ROOT_PATH.'data/sql_log/'.date('Y-m-d-H-i-s',time()).'.txt',$msg);			

	exit;
}

5,删除帝国备份文件夹(使用过的话),demo文件夹,install文件夹,upgrade升级文件夹(使用过的话)

6,删除ecshop自带的多余管理员

7,参考《ecshop去掉版权,去掉升级,去掉提醒完整版

完成以上步骤,基本可以防护80%的ecshop漏洞以及后门了,剩下的就是主机的安全设置等问题了,这个度娘和谷哥里面有全方位的教程,这里就不详细阐述!

阅读剩余
THE END