帝國CMS安全防禦設置詳細教程

帝國CMS是什麼程序

    帝國CMS是一套開源的靜態頁面程序，憑藉超高的擴展性，不少知名的新聞站點、行業站點都是應用的帝國CMS後端。由於帝國CMS和dedecms同樣都是生成靜態頁面的，因此很是利於SEO。一些SEO從業者也都喜歡使用帝國cms和dedecms。不過帝國CMS會稍微比dedecms複雜一點，不是很適合新手入門。可是帝國CMS相比dedecms更加的安全，因此咱們設置帝國CMS安全防禦就會相對簡單一些，下面咱們進行講解。

    第一步：安裝時要修改數據表前戳

    由於帝國cms也是國內知名的開源程序，不少人都對帝國CMS很熟悉，因此對安全也就成了威脅，特別是數據庫，帝國CMS默認的數據表都是相同的，因此咱們爲了數據庫的安全，咱們要修改帝國安裝時的數據庫前綴表。（更改須要修改配置，你們本身百度下相關的修改方法）

第二步：修改後臺文件夾名稱

    通常帝國CMS都是 域名/e/admin 咱們要將 admin修改成更復雜的文件名，不容易被別人輕易猜中後臺，不然就會增長被攻擊的機率。

第三步：禁用admin帳戶

    通常咱們使用帝國cms只是修改一下密碼而已，其實這並不安全，最好本身新創建一個帳號，禁用admin帳號。纔會讓咱們更加的安全一些。

第四步：設置登陸認證碼和登陸問題

    咱們退一步來說解，就算黑客暴力破解出了你的帳號密碼。你的後臺開啓了認證碼和登陸問題，黑客也是登錄不上你後臺的，這對你的網站後臺安全起到了很是重要的做用。

第五步：啓用網站安全防火牆。

    帝國CMS網站安全防火牆是針對整站防禦的，開啓後會讓網站數據獲得更加高的保障。

配置「網站防火牆」有下面兩種方法：

    一、後臺>「系統設置」>「網站防火牆」。 

    二、修改e/class/config.php文件配置。

    下面講解一下相關設置的做用和使用：

    一、防火牆加密密鑰：

    此項必須設置，填寫10~50個任意字符，最好多種字符組合。

    而且建議每星期或每月變動一次。

    二、容許後臺登錄的域名：

    設置只容許訪問後臺的域名，域名綁定到網站根目錄，只有經過這個域名訪問e/admin後臺纔是被容許的。域名通常用網站的二級域名便可，若是爲了更保險也可綁定一個全新域名的二級域名。好比：網站域名：http://www.phome.net，而訪問後臺域名則用http://abc.digod.com

    而且綁定的域名還支持增長端口，好比：http://abc.phome.net:8080，前提是服務器支持使用這個端口訪問網站。綁定域名(http://abc.digod.com)後的訪問後臺地址是：http://abc.digod.com/e/admin/，而經過其餘域名訪問後臺都是空白。

    三、容許登錄後臺的時間點、容許登錄後臺的星期：

    方便工做時間工做的單位設置，使網站安全維護更容易把控，不讓用戶在工做時間外進入後臺。若是緊急事件例外能夠手動修改e/class/config.php文件配置。

    四、防火牆後臺預登錄驗證變量名和防火牆後臺預登錄認證碼

    這兩項必須設置。預登錄驗證變量名：可由英文字母+數字組成(必須是字母開頭)，5~20個字符組成。
    
    預登錄認證碼：填寫10~50個任意字符，最好多種字符組合。而且建議每星期或每月變動一次。

    五、屏蔽提交敏感字符：

    此功能是安全防火牆的核心，可對前臺用戶全部錄入的信息進行安全過濾。一般設置php、mysql等攻擊的相關字符。好比：sql注入一般會用到的字符：select,outfile,union,delete,insert,update,replace,sleep,benchmark,load_file,create。
 

第六步：網站服務器安裝防護軟件

    咱們以前也講解過，能夠安裝雲鎖、網站安全狗這類的軟件，第一能夠防止暴力破解，第二能夠防止惡意篡改頁面，第三能夠防止dos、cc等流量攻擊。

 

帝國CMS刪除不須要的功能

    若是咱們的網站不須要帝國CMS的某項功能咱們能夠進行刪除，不僅僅能夠提升運行速度，減小佔用空間，還能夠避免黑客利用這些文件進行上傳木馬，具體怎麼作那，以下：

    首先：後臺-系統-系統參數設置-關閉相應的模塊  「先關閉對應的模塊」

一、不使用下載系統模型

    (1)、刪除e/DownSys目錄；

    (2)、修改e/class/DownSysFun.php文件，文件第二行加exit(); <?php exit();

    修改後保存文件便可。

    二、不使用商城系統模型

    (1)、刪除e/ShopSys目錄；

    (2)、修改e/class/ShopSysFun.php文件，文件第二行加 exit();<?php exit();

    修改後保存文件便可。

    三、不使用評論功能

    (1)、刪除e/pl目錄；

    (2)、修改e/enews/plfun.php文件，文件第二行加 exit(); <?php exit();
   
    修改後保存文件便可。

    四、不使用留言板功能

    (1)、刪除e/tool/gbook目錄；

    (2)、修改e/enews/gbookfun.php文件，文件第二行加 exit(); <?php exit();

    修改後保存文件便可。

    五、不使用投票功能

    (1)、刪除e/tool/vote和e/public/vote目錄；

    (2)、修改e/enews/votefun.php文件，文件第二行加 exit(); <?php exit();

    修改後保存文件便可。

    六、不使用會員取回密碼和激活賬號功能

    (1)、刪除e/member/GetPassword目錄；

    (2)、修改e/class/qmemberfun.php文件，文件第二行加 exit(); <?php exit();

    修改後保存文件便可。

    七、除了admin、class、data、enews、message目錄外，不使用的功能能夠直接刪除。

    不使用前臺動態信息頁面：直接刪除e/action目錄

    不使用前臺投稿功能：直接刪除e/DoInfo目錄

    不使用前臺打印功能：直接刪除e/DoPrint目錄

    不使用在線支付接口功能：直接刪除e/payapi目錄

    不使用全站全文搜索功能：直接刪除e/sch目錄

    不使用搜索功能：直接刪除e/search目錄

    不使用會員空間功能：直接刪除e/space目錄

    不使用tags列表功能：直接刪除e/tags目錄

    不使用wap功能：直接刪除e/wap目錄

    不使用RSS功能：直接刪除e/web目錄 

    帝國CMS安全防禦就講解到這裏，對於帝國CMS來講，已經很是安全，咱們刪除下方插件代碼的意思爲：代碼越少，越精簡，漏洞也就越少，咱們不須要的功能能夠直接刪除掉，一面給咱們帶來沒必要要的安全隱患.