帝國CMS是一套開源的靜態內容管理系統,憑借超高的擴展性,實用性被很多大型網站用做后臺程序。不但可以生成靜態頁面而且可以靈活偽靜態對SEO非常有利。不過帝國CMS相對其它CMS后臺復雜,不是很適合新手入門。但是帝國CMS相對更加的安全,所以我們設置帝國CMS安全防護就會相對簡單一些,下面我們進行講解。
帝國網站管理系統的代碼嚴謹,默認配置就很安全,本文將介紹如何使您的系統安全設置達到最優化:
首先我們來認識一下帝國CMS安全認證特性:
帝國登錄六重安全驗證:
第一重:密碼采用三重MD5+多重SALT加密,超強加密,密碼不可破解,假如數據庫被下載,也無法獲取真實密碼。
第二重:后臺目錄自定義,假如對方知道密碼也找不到登錄后臺。
第三重:假如知道密碼和后臺目錄也無法知道認證碼,認證碼存放.php文件必須登錄FTP才能查看文件內容。
第四重:后臺登錄提問答案采用雙重md5加密,即使數據庫被偷也無法破解答案內容。
第五重:后臺登錄支持自定義指定獨立域名,不使用指定域名無法登錄后臺。
第六重:后臺登錄支持綁定證書驗證:用戶設置綁定證書后必須通過證書頁面進入才可登錄后臺,而從其他頁面進入無法登錄,更安全牢固。
帝國COOKIE信息十一重安全認證:
第一重:系統驗證采用隨機密碼認證,每次登錄或退出都會產生新的隨機密碼,無規律可尋,并且認證采用數據庫+COOKIE+文件+SESSION+登錄文件內容驗證五重認證,安全可靠。
第二重:后臺登錄驗證COOKIE變量前綴自定義,連變量名都不知道就無法模擬COOKIE發包。
第三重:COOKIE信息采用COOKIE認證碼驗證,信息加密采用雙重md5加密,無法破解COOKIE認證碼,并且COOKIE認證碼存放.php文件必須登錄FTP才能查看文件內容。
第四重:COOKIE信息與登錄IP綁定認證,假如COOKIE信息被完全獲取并且隨機密碼沒有改動,不知道登錄者IP也無法通過認證。
第五重:COOKIE信息與瀏覽器信息綁定,假如COOKIE信息被完全獲取并且隨機密碼沒有改動,且登錄IP被知道,瀏覽器信息不正確也無法通過認證。
第六重:以文件方式驗證用戶是否登錄,假如COOKIE信息被完全獲取并且隨機密碼沒有改動,且登錄者IP與瀏覽器信息也被知道,用戶不在線也無法通過認證。
第七重:COOKIE信息與SESSION信息驗證同時綁定,假如電腦中毒后COOKIE信息外泄后,無SESSION信息也無法通過認證。
第八重:除了數據庫隨機密碼認證、COOKIE信息驗證、SESSION認證外,7.0版本還新增了數據庫驗證信息認證,為身份認證再加一把鎖。
第九重:后臺管理員采用獨立驗證密鑰,驗證內容更獨立,更安全。
第十重:7.2以上版本擁有更強大的“來源HASH驗證”:后臺“來源HASH驗證”支持設置“刺猬模式”與“金剛模式”兩種安全防御:“刺猬模式”是更改數據庫內容操作時啟用驗證,而“金剛模式”是后臺所有頁面啟用驗證,更全面。官方推薦啟用“金剛模式”。此外,“來源HASH驗證”不僅可以防止管理員喜歡點擊別人QQ發來攻擊鏈接等導致安全問題,而且還相當于在原來安全登錄驗證基礎上又加一層登錄驗證,且連HASH變量名都是隨機的,獲取更復雜,讓網站管理更無憂。
第十一重:7.2以上版本后臺新增“隨時認證碼”驗證:后臺“隨時認證碼”支持設定多少秒更新“新登錄驗證信息”,間隔多少秒后自動產生新的登錄信息,使舊登錄信息失效,從而保護因管理員電腦中毒或者服務器受ARP等攻擊時的后臺安全,讓網站管理更無憂。
下面我們來介紹帝國CMS如何設置是安全最優化的:
(注:以下選項都是非必須設置,只是優化建議。)
php配置文件php.ini設置:
1、magic_quotes_gpc 設置為 On
魔術引用,此項建議開啟。
2、register_globals 設置為 Off
PHP全局變量,此項建議關閉。
3、display_errors 設置為 Off
不顯示PHP錯誤提示,此項設置對系統安全影響不大。
帝國網站管理系統設置:
1、安裝時修改表前綴
建議在全新安裝帝國CMS時修改表前綴。
2、安裝初始化管理員帳號時,不要將常見的諸如admin等作為管理員用戶名。
3、管理員密碼設置6位以上
密碼由字母、數字、下劃線和特殊字符組成。
4、安裝時設置登錄認證碼
如果安裝時沒有設置認證碼,可以修改e/class/config.php文件里的“$do_loginauth”變量內容。【7.0版本修改e/config/config.php文件里的“$ecms_config['esafe']['loginauth']”變量內容】(推薦用dreamweaver編輯,可防止UTF8編碼文件被轉換為GBK)
5、重命名后臺管理目錄/e/admin
將admin重命名為不容易猜到并且好記的目錄名。
6、設置后臺驗證登錄IP
為了照顧上網IP隨時變動的用戶,默認不驗證登錄IP,如果要開啟登錄IP驗證,可以修改e/class/config.php文件里的“$do_ckhloginip”變量值設為1。【7.0版本修改e/config/config.php文件里的“$ecms_config['esafe']['ckhloginip']”變量值】(推薦用dreamweaver編輯,可防止UTF8編碼文件被轉換為GBK)
7、退出系統時,點擊后臺的退出登陸鏈接退出
點退出登陸系統會自動產生新的隨機密碼 (防止因電腦中毒或網絡被挾持導致本地保存的COOKIE信息外泄,而產生新的隨機密碼可使外泄的COOKIE信息失效)。
8、啟用網站安全防火墻。
有關防火墻配置可以看:http://bbs.phome.net/showthread-13-142920-0.html
9、啟用后臺帳號綁定證書驗證。
用戶設置綁定證書后必須通過證書頁面進入才可登錄后臺,而從其他頁面進入無法登錄,更安全牢固。生成的綁定證書可以復制到一臺或多臺電腦登錄,并且支持自己隨時更換新證書,使舊的證書失效。
10、修改后臺文件夾名稱
安裝完程序以后修改掉/e/admin 的admin目錄,用不容易被人猜測到的目錄名。否則容易被攻擊
11、禁用默認賬號admin
眾所周知很多程序后臺喜歡用admin作為賬號,這樣增加了一定的風險。所以安裝的時候不要使用admin,或者修改掉
12、設置登錄認證碼和登錄問題
后臺系統設置中增加認證碼和登錄問題登錄,增加攻擊的難度。使網站更加安全。
13、啟用網站安全防火墻。
后臺>“系統設置”>“網站防火墻”。根據需要設置一下參數
14、安裝安全防護軟件
如云鎖、安全狗等安全防護軟件。
15、將不需要的功能刪掉
除了admin、class、data、enews、message目錄外,不使用的功能可以直接刪除。
不使用前臺動態信息頁面:直接刪除e/action目錄
不使用前臺投稿功能:直接刪除e/DoInfo目錄
不使用前臺打印功能:直接刪除e/DoPrint目錄
不使用在線支付接口功能:直接刪除e/payapi目錄
不使用全站全文搜索功能:直接刪除e/sch目錄
不使用搜索功能:直接刪除e/search目錄
不使用會員空間功能:直接刪除e/space目錄
不使用tags列表功能:直接刪除e/tags目錄
不使用wap功能:直接刪除e/wap目錄
不使用RSS功能:直接刪除e/web目錄
總之總結就是越精簡風險越小,漏洞越少。并且將不需要執行權限的目錄全部取消掉執行權限。
