帝国cms安全性防护

高危目录:

/e/enews/index.php   后台关闭留言板块

/e/tool/gbook/ 后台信息反馈关闭

/e/action/ListInfo/index.php  后台关闭搜索和全站搜索板块

帝国cms安全防护主要从以下几个方面来

1.如果是展示站点,用不到个人空间和会员系统,删除e/space文件和/e/member下的部分文件,并在后台关闭会员注册,并开启验证码,提升安全性

严重性:不法分子通过注册账号,在e/space/?userid=xxx大量发布非法内容,搜索引擎会对网站评分降级,如果IDC服务器扫描到了会关停网站让你整改

入侵方式:/e/member/ShowInfo/?userid=4716  注意:不要删除member全部目录,那将会导致后台文章新增和修改出现空白

image.png

2.删除帝国cms安装目录  e/install(官方作者推荐)

3.关闭投稿功能系统设置-用户设置-投稿功能(官方作者推荐)

3.修改默认登陆目录e/admin为其他

4.修改默认用户名admin或者删除

5.关闭搜索功能,不法分子利用搜索缓存大量搜索,并被搜索引擎收录(换路径,或者添加禁搜词都可以)

image.png

image.png

6.安装的时候修改默认表前缀phome_

7.关闭前台模块功能,以帝国cms7.5系统为例,[系统]-[系统设置][系统参数设置]-[关闭前台模块相关功能]把不用的模块全部都关闭掉

image.png

8.不给文件服务器放未知的文件,不给网站添加未知的链接

此问题一定要注意,我就中过招,在网站添加了一个非常长的url,然后网站程序被植入木马文件

9.利用cms漏洞监测功能去查询

10.帝国cms后台系统设置-基本属性-关闭前台所有动态页面-选择关闭(谨慎,关闭全站搜索之类的php动态均不可使用)

11.帝国cms后台系统设置-用户属性-会员注册关闭 以及 投稿功能关闭,会员空间关闭

12.所用的cms网站环境要安全,例如之前的PHPstudy被爆出有重大隐患,如果已使用的,要及时更新修复漏洞

帝国cms增强安全防护(非必须)

  1. 设置登陆认证码和登陆问题
  2. 启用帝国cms网站安全防火墙[系统]-[系统设置]-[网站防火墙]
  3. 网站服务器安装防护软件
  4. 其他删除:

    (1)如果我们的网站不需要帝国CMS的某项功能我们可以进行删除,不单单可以提高运行速度,减少占用空间,还可以避免黑客利用这些文件进行上传木马,具体怎么做那,如下:
    首先:后台-系统-系统参数设置-关闭相应的模块  “先关闭对应的模块”
    1、不使用下载系统模型
    (1)、删除e/DownSys目录;
    (2)、修改e/class/DownSysFun.php文件,文件第二行加exit(); <?php exit();
    修改后保存文件即可。
    2、不使用商城系统模型
    (1)、删除e/ShopSys目录;
    (2)、修改e/class/ShopSysFun.php文件,文件第二行加 exit();<?php exit();
    修改后保存文件即可。
    3、不使用评论功能
    (1)、删除e/pl目录;
    (2)、修改e/enews/plfun.php文件,文件第二行加 exit(); <?php exit();

    修改后保存文件即可。
    4、不使用留言板功能
    (1)、删除e/tool/gbook目录;
    (2)、修改e/enews/gbookfun.php文件,文件第二行加 exit(); <?php exit();
    修改后保存文件即可。
    5、不使用投票功能
    (1)、删除e/tool/vote和e/public/vote目录;
    (2)、修改e/enews/votefun.php文件,文件第二行加 exit(); <?php exit();
    修改后保存文件即可。
    6、不使用会员取回密码和激活帐号功能
    (1)、删除e/member/GetPassword目录;
    (2)、修改e/class/qmemberfun.php文件,文件第二行加 exit(); <?php exit();
    修改后保存文件即可。
    7、除了admin、class、data、enews、message目录外,不使用的功能可以直接删除。
    不使用前台动态信息页面:直接删除e/action目录
    不使用前台投稿功能:直接删除e/DoInfo目录
    不使用前台打印功能:直接删除e/DoPrint目录
    不使用在线支付接口功能:直接删除e/payapi目录
    不使用全站全文搜索功能:直接删除e/sch目录
    不使用搜索功能:直接删除e/search目录
    不使用会员空间功能:直接删除e/space目录
    不使用tags列表功能:直接删除e/tags目录
    不使用wap功能:直接删除e/wap目录
    不使用RSS功能:直接删除e/web目录
    帝国CMS安全防护就讲解到这里,对于帝国CMS来说,已经非常安全,我们删除下方插件代码的意思为:代码越少,越精简,漏洞也就越少,我们不需要的功能可以直接删除掉,代码越小,越精简,漏洞就越少,把不需要的功能删除,可以增强cms安全性!