zencart网站安全建议

Posted by zuzhihui in 网站建设 on 2011/02/26 with No Comments

今天有个VPS客户的zencart网站被黑客入侵,删除了所有付款模块,并增加了一个信用卡付款模块,估计是想收集zencart网站的客户信用卡信息。zencart网站被黑不是个别现象,为了我们VPS客户的安全,瑞豪开源根据自己的经验,以及zencart官方的安全建议,总结出几点保障zencart的措施。

使用最新版本的zencart

zencart的老版本往往是有已知漏洞的,黑客会利用这些漏洞对zencart网站进行攻击,最新版本往往修复了这些漏洞。

重命名admin目录

打开文件 admin/includes/configure.php 将所有出现 /admin/ 的地方改成自己定义的名字,需要修改的部分:

define(‘DIR_WS_ADMIN’, ‘/admin/’);
define(‘DIR_WS_CATALOG’, ‘/’);
define(‘DIR_WS_HTTPS_ADMIN’, ‘/admin/’);
define(‘DIR_WS_HTTPS_CATALOG’, ‘/’);

define(‘DIR_FS_ADMIN’, ‘/home/mystore.com/www/public/admin/’);
define(‘DIR_FS_CATALOG’, ‘/home/mystore.com/www/public/’);

将Zen Cart的目录/admin/按照 admin/includes/configure.php 中的定义作相应修改。

configure.php文件为只读

configues.php位于

//includes/configure.php
//admin/includes/configure.php

修改为只读可以防止黑客修改

管理员账号安全

删除多余的没有用到的管理员账号,比如demo等

管理员账号应该非常复杂,比如带数字,大小写,特殊字符,长度超过8位,具体在Admin->Tools->Admin Settings里面设置新的密码

保护你的html_includes下面的define pages

将以下文件置为只读, 当然前提是你已经设计好你的网站,无须修改这些文件,如果需要修改,改为可写,然后再置为只读

/includes/languages/english/html_includes – and all files/folders underneath

使用.htaccess 文件防止非法的snoop

默认的.htaccess文件里面应该有如下设置

IndexIgnore */*
<Files *.php>
Order Deny,Allow
Deny from all
</Files>
标签:

Leave a Comment

Back to Top

2007-2013 © 北京瑞豪开源科技有限公司 京ICP备13004995号-2