下面是强化Zen Cart 网店安全的几个步骤:
- 删除以下几个目录和文件
安装完成后,请从服务器上删除以下目录和文件:
(可以通过空间里的文件管理来删除,也可以使用FTP 来删除,推荐使用空间里的文件管理工具删除,因为FTP 太慢了)
- /docs
- /extras (重要)
- /zc_install
- /install.txt (这是文件)
另外,如果你的网店不是卖可下载类的产品,请同时删除以下文件和目录: - /download
- /media
- /pub
不要只是改名目录,万一别人知道了目录名,就不安全。
如果删除了download 目录,商店设置-属性设置-允许下载,设置为:false
- 改名"/admin"目录
修改"admin"目录名,用一个很难猜测到的名字。(在进行下面的修改前,请备份文件和数据库。)
A- 用文本编辑器, 例如记事本, 打开文件admin/includes/configure.php。
将所有出现/admin/的地方改成自己的管理目录名。
define(‘DIR_WS_ADMIN’, ‘/admin/’);
define(‘DIR_WS_CATALOG’, ‘/’);
define(‘DIR_WS_HTTPS_ADMIN’, ‘/admin/’);
define(‘DIR_WS_HTTPS_CATALOG’, ‘/’);
需要修改的部分:
define(‘DIR_FS_ADMIN’,
‘/home/mystore.com/www/public/admin/’);
define(‘DIR_FS_CATALOG’,
‘/home/mystore.com/www/public/’);
B- 找到Zen Cart 的/admin/目录,将该目录名按照admin/includes/configure.php 中的定义作相应修改。
例如:我要将后台地址访问地址修改为
www.shiqi8.com/654idc /
那么我需要修改以下位置。
define(‘DIR_WS_ADMIN’, ‘/654idc /’);
define(‘DIR_WS_CATALOG’, ‘/’);
define(‘DIR_WS_HTTPS_ADMIN’, ‘/654idc/’);
define(‘DIR_WS_HTTPS_CATALOG’, ‘/’);
define(‘DIR_FS_ADMIN’,
‘/home/mystore.com/www/public/654idc/’);
define(‘DIR_FS_CATALOG’,
‘/home/mystore.com/www/public/’);
最后一个修改/admin/目录为/654idc /目录
然后测试下,我们修改的效果在浏览器中键入:
www.shiqi8.com/654idc /
出现了后台的登录框,效果图如下:
那么我们的修改就算成功了。
恭喜你,你的网店更加安全了。
在其他cms 系统中,我们也可以将默认的后台文件夹名称修改掉来增加安全性。
-
设置configure.php文件为只读
admin/includes/configure.php
includes/configure.php
将两个configure.php 文件用CHMOD(设置权限)命令改为只读很重要。
通常就是设置为"644",有时是"444"。
如果无法通过FTP 程序修改,可以用主机商提供的文件管理工具来修改。
如果您用的是Windows 服务器,只要将文件设置为"所有人" “只读”,如果是在IIS 下,是IUSR_xxxxx 用户,或者"System"帐号,在Apache 下,是"apache user"帐号。 -
删除不用的管理员帐号
管理页面->工具->管理设置
在管理页面下,打开工具菜单,选择管理设置,检查所有没有使用的管理员帐号并删除。特别注意是否有"Demo"帐号。 -
强化管理员密码
一定要使用一定强度、不易猜测的密码。
要修改管理员密码,进入管理页面->工具->管理设置,点击"重置密码"按钮,或点击那个想回收箱的图标。
建议使用至少8 位密码。
密码最好包含字母、数字、符合、以及大小写等。 -
保护"自定义页面" "html_includes"中的内容
定义好您的自定义页面后,(管理页面->工具->页面编辑),您要保护这些文件:
A. 用FTP 软件下载备份,这些文件位于
/includes/languages/schinese/html_includes 目录。
B. 修改文件CHMOD 644 或444 (或Windows 下为“只读”)。见上面的CHMOD 说明
/includes/languages/schinese/html_includes