ShopEx 4.85网店系统由近百人资深研发团队,历时7年精心打造,以...
ShopEx 4.85网店系统由近百人资深研发团队,历时7年精心打造,以...
ShopEx登录后台提示“非法授权”后跳转到登录页的解决办法:...
ShopEx 4.85网店系统由近百人资深研发团队,历时7年精心打造,以专业的功能、领先的技术以及快速的价值体现,赢得超过70万客户选择,国内市场占有率超过70%,每天新增用户1500以上。
一个免费系统,这么多用户使用,又有这么多人去研究它,时不时地爆出安全漏洞是避免不了的。所以就要求各位店家在运营时,首先要自己提高安全意识,尽量减少被意外攻击的机率。
以下是一些运营中的小经验,希望对大家有用:
1、将系统中的install目录删除,留着也是摆看。里面有涉及到检测系统环境的程序,很容易被利用。
2、后台的保护。首先是账号密码的保护,其次是后台管理目录的修改。务必把默认的后台目录改掉,改成其它不容易被猜到的目录。ShopEx默认的后台目录是shopadmin,您可以改为任意名称如aaaa(当然越复杂的越好),这样即使别人知道后台账号密码也不知道后台在哪登录。【点击此处查看后台目录的修改方法】
3、去除系统上的页面版权(需要修改一些程序,如有需要,请联系我们),越彻底越好,从代码层面去除它。很多时候,某些人获知某个系统有漏洞的时候,总是会通过搜索相应的系统名称来得到使用这个系统的那些网站,然后实施攻击;【点击此处下载最新版去除版权补丁】
4、PHP环境安全配置,如在PHP.ini文件中关闭页面错误信息显示display_errors=Off,或直接在ShopEx的config.php文件中配置ini_set("display_errors","Off");,可以防止某些程序在报错的时候无意中泄露网站物理路径,被黑客利用。
5、MySql数据库账号安全配置,不要图一时省事给网站直接使用root账号而给的最高权限,给网站单独分配普通账号,并且不允许远程连接,仅给予其最基本的数据库操作权限,如增删改查。
6、有些店家为了方便管理数据库,直接在网站目录下放置了如phpMyadmin等第三方数据库管理程序,建议对这些系统也做好安全处理,最直接的方法就是将目录名称改掉,不使用默认名称,这些黑客也无法猜到。
7、服务器日常巡检维护。经常上服务器各目录查看查看,以便及时可以发现一些可疑文件,如通过文件或文件夹的最近修改时间,可以分析出一些踪迹。【辅助工具:PHP木马扫描工具下载】
8、关注官方论坛,随时了解版本升级动态,及时更新安全补丁。
9、[2015最新补充]将网站根目录下面的api.php文件删除或 把文件改个其它别人不知道的名字。这是系统提供的对外api入口,如果您网站没有使用shopex官方的商品助理软件,则可以将此文件删除掉,防止安全隐患。因为最近发现很多漏洞都是通过这个api被侵入的。所以如果没有用的话,请务必删除它。即使你有用到商品助理,也可以把此文件备份起来,用的时候恢复,不用的时候删除!不要嫌麻烦,比起网站被黑、数据被盗、客户资料被泄露,这些都不算麻烦!!
10、建议所有老版本的客户,及时将自己的程序升级到最新版ShopEx485.85331。
可以加入一些防SQL注入的代码,点此下载:360发布通用php防护代码,最大限度保护自己的系统
如有疑问,请与我们的在线客服联系。
标签:shopex安全经验常识独立网站 | |
上一篇:会员找回密码总是提示“问题回答错误或当前账户的邮箱填写错误”的一个可能原因 | 下一篇:ShopEx首页价格显示错乱非会员显示会员价或会员显示非会员价问题一例 |