TypechoJoeTheme

依然范儿特西

依然范儿特西

人生本没有地图,我们一路走,一路被辜负,一路点燃希望,一路寻找答案!

【Typecho】Typecho 防黑安全加固

2021-06-10
/
0 评论
/
29 阅读
/
正在检测是否收录...
06/10

删除安装文件 成功安装后删除 install.php 文件、install/ 文件夹。

修改后台地址 把 admin 修改为黑客猜不到的名字,例如 pipixia,防止黑客穷举密码。

修改`admin`文件夹名称

修改 admin 文件夹名称为你喜欢的名称,例如 pipixia

修改配置文件以适配修改后的`admin`路径

修改 config.inc.php 修改为以下代码,我就当修改为 pipixia 了。

/** 后台路径(相对路径) */
define('__TYPECHO_ADMIN_DIR__', '/pipixia/');

好了。现在你可以访问你的域名/pipixia/ 了。这就是你的新的后台地址,原来的你的域名/admin/ 已经不能访问了。

屏蔽 usr、var 目录下 php 文件的访问 屏蔽 usr、var 目录下 php 文件的访问可以阻止黑客访问到他上传的 php木马。 我们利用 Rewrite 伪静态机制来做。我这里以 Apache 服务器为例,大部分虚拟主机都是 Apache。LiteSpeed Web Server 也使用的是 Apache 的规则。 我们同时屏蔽 config.inc.php 和.htaccess 的访问。 屏蔽原理就是把要屏蔽的请求重定向到首页文件,首页文件会当成文章名来解析,没有同名文章就会返回 404 未找到。所以就算黑客上传了木马也只会得到 404 未找到的响应。

文件名:.htaccess

<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule ^(.*)$ index.php [E=PATH_INFO:$1]
    RewriteRule (var|usr)(.+ph*)$ index.php [E=PATH_INFO:$1]
    RewriteRule (config.inc.php|.htaccess)$ index.php [L,E=PATH_INFO:$1]
</IfModule>

新建.htaccess 文件添加以上内容,上传到你 typecho 博客的根目录就可以了。

Nginx


if (!-e $request_filename) {
        rewrite ^(.*)$ /index.php$1;
}
rewrite /(var|usr)(.+ph*)$ /index.php;
rewrite /(config.inc.php|.htaccess)$ /index.php last;
   
typecho
朗读
赞(0)
评论 (0)
本篇文章评论功能已关闭