关于ecshop网店系统在服务器上的安全设置方法
2016-09-11 20:39 来源:www.chinab4c.com 作者:ecshop专家
ecshop长时间任由发展,几乎停滞不前,网络上各种漏洞各种BUG层出不穷,为能防范绝大多数后门或者漏洞,提供相应设置安全方法,请参考此文。
(1)设定好 ecshop目录相关权限。
只开放 temp,images,themes,data。4个目录的读写权限,其他目录只能读取,即为0644。
(2)修改ecshop默认后台目录名称。
修改默认后台文件目录admin,一般为难以猜解的目录名称,如“zuimoban”
(3)修改ecshop默认数据库前缀。
(4)关闭ECSHOP错误提示,并把错误信息直接写入网站文件中,不直接显示到前台。(很重要)
修改函数ERRORMSG函数,文件在includes\\cls_mysql.php
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
|
function ErrorMsg($message = '', $sql = '')
{
echo "Some Errors....pls check log file.";
if(!file_exists(ROOT_PATH.'data/sql_log'))
{
mkdir(ROOT_PATH.'data/sql_log');
}
if ($message)
{
$msg="ECSHOP info\\r\\n: $message";
}
else
{
$msg="MySQL server error report:\\r\\n".print_r($this->error_message,true);
}
@file_put_contents(ROOT_PATH.'data/sql_log/'.date('Y-m-d-H-i-s',time()).'.txt',$msg);
exit;
}
|
(5)定期更新官方补丁。
(6)删除帝国备份文件夹,demo文件夹,install等文件夹。(切记!)
完成以上6则,基本可以防护80%的ECSHOP漏洞以及后门了。
如果您这边是服务器操作系统,下面的文章就很重要。
(1)修改PHP.INI 文件配置,让ECSHOP更加安全。
# 禁用危险的函数(很重要)
disable_functions = phpinfo, system, mail, exec
(2)PHP.INI.可关闭PHP自带的ZIP组件;
(3)PHP.INI其他修改
#不将PHP错误消息暴露给外部用户
设定display_errors = Off
(4)设定好相关权限,比如根目录禁止写入文件。设置权限为0644.
最近更新
常用插件
- ecshop没登陆情况下订单查
ecshop没登陆情况下订单查询插件,主要是针对ecshop在没有登陆的情况下...
- ecshop二次开发商品购买增
图片1香...
- ecshop2.7.1邮件发送插件
ecshop2.7.1邮件发送插件:该插件主要的开发思想是源于ecshop短信发送系统...
- ecshop2.7.2生成虚拟订单2.
以前我们开发过ecshop下的虚拟订单,就是客户在访问的时候,会自动生...
- ecshop最小购买数量控制插
ecshop最小购买数量控制插件,这个插件主要是为我们提供一个十分方便...