专注ECSHOP第九年
始自2007,服务二千多商户,不断为您增光溢彩

阿牛谈有关ECSHOP服务器文件的安全设置

ECSHOP由于官方长时间任由发展,几乎停滞不前,网络上各种漏洞各种BUG层出不穷,为能防范绝大多数后门或者漏洞,请参考此贴。
(1)设定好目录相关权限。

只开放 temp,images,themes,data。4个目录的读写权限,其他目录只能读取,即为0644。

(2)修改默认后台目录名称。

修改默认后台文件目录admin,一般为难以猜解的目录名称,如“ab890Iadmin”

(3)修改默认数据库前缀。

(4)关闭ECSHOP错误提示,并把错误信息直接写入网站文件中,不直接显示到前台。(很重要)

修改函数ERRORMSG函数,文件在includes\cls_mysql.php

function ErrorMsg($message = '', $sql = '')
    {
        echo "Some Errors....pls check log file.";

        if(!file_exists(ROOT_PATH.'data/sql_log'))
        {
        	mkdir(ROOT_PATH.'data/sql_log');
        }

        if ($message)
        {
           $msg="ECSHOP info\r\n: $message";
        }
        else
        {
            $msg="MySQL server error report:\r\n".print_r($this->error_message,true);
        }       

				@file_put_contents(ROOT_PATH.'data/sql_log/'.date('Y-m-d-H-i-s',time()).'.txt',$msg);			

        exit;
    }

 

(5)定期更新官方补丁。
(6)删除帝国备份文件夹,demo文件夹,install等文件夹。(切记!)

完成以上6则,基本可以防护80%的ECSHOP漏洞以及后门了。

如果您这边是服务器操作系统,下面的文章就很重要。

(1)修改PHP.INI 文件配置,让ECSHOP更加安全。

# 禁用危险的函数(很重要)

disable_functions = phpinfo, system, mail, exec

(2)PHP.INI.可关闭PHP自带的ZIP组件;

(3)PHP.INI其他修改

#不将PHP错误消息暴露给外部用户

设定display_errors = Off

(4)设定好相关权限,比如根目录禁止写入文件。设置权限为0644.

转载请注明出处:阿牛ECSHOP

 

赞(0) 打赏
未经允许不得转载:阿牛ECSHOP » 阿牛谈有关ECSHOP服务器文件的安全设置
分享到: 更多 (0)
1

评论 3

  1. #-49

    写的不错哦 !

    萍果9年前 (2013-12-09)回复
  2. #-48

    太厉害啦!值得我们学习

    歪妖内涵网7年前 (2015-09-20)回复

阿牛ECSHOP 更专业 更方便

关于我们联系我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏