Posted by zuzhihui in 网站建设 on 2011/02/26 with No Comments
今天有个VPS客户的zencart网站被黑客入侵,删除了所有付款模块,并增加了一个信用卡付款模块,估计是想收集zencart网站的客户信用卡信息。zencart网站被黑不是个别现象,为了我们VPS客户的安全,瑞豪开源根据自己的经验,以及zencart官方的安全建议,总结出几点保障zencart的措施。
zencart的老版本往往是有已知漏洞的,黑客会利用这些漏洞对zencart网站进行攻击,最新版本往往修复了这些漏洞。
打开文件 admin/includes/configure.php 将所有出现 /admin/ 的地方改成自己定义的名字,需要修改的部分:
define(‘DIR_WS_ADMIN’, ‘/admin/’);
define(‘DIR_WS_CATALOG’, ‘/’);
define(‘DIR_WS_HTTPS_ADMIN’, ‘/admin/’);
define(‘DIR_WS_HTTPS_CATALOG’, ‘/’);
define(‘DIR_FS_ADMIN’, ‘/home/mystore.com/www/public/admin/’);
define(‘DIR_FS_CATALOG’, ‘/home/mystore.com/www/public/’);
将Zen Cart的目录/admin/按照 admin/includes/configure.php 中的定义作相应修改。
configues.php位于
//includes/configure.php
//admin/includes/configure.php
修改为只读可以防止黑客修改
删除多余的没有用到的管理员账号,比如demo等
管理员账号应该非常复杂,比如带数字,大小写,特殊字符,长度超过8位,具体在Admin->Tools->Admin Settings里面设置新的密码
将以下文件置为只读, 当然前提是你已经设计好你的网站,无须修改这些文件,如果需要修改,改为可写,然后再置为只读
/includes/languages/english/html_includes – and all files/folders underneath
默认的.htaccess文件里面应该有如下设置
IndexIgnore */* <Files *.php> Order Deny,Allow Deny from all </Files>
要发表评论,您必须先登录。
近期评论