細(xì)微之處見(jiàn)功夫,安全問(wèn)題最重要的是細(xì)節(jié)上的留心,新版Discuz!在安全上也下足了功夫。
新版Discuz!采用獨(dú)家研發(fā)的防陷落系統(tǒng),經(jīng)過(guò)數(shù)次優(yōu)化。系統(tǒng)對(duì)管理后臺(tái)權(quán)限進(jìn)行了比較大的限制,管理后臺(tái)所有數(shù)據(jù)亦嚴(yán)格過(guò)濾,并且對(duì)模板編輯、數(shù)據(jù)庫(kù)導(dǎo)入等可能引起權(quán)限提升或者放置木馬的操作進(jìn)行了禁止。文件校驗(yàn)工具,幫助站長(zhǎng)檢查論壇程序文件,確保系統(tǒng)文件的完整性,有效的防范惡意木馬、非法入侵等攻擊行為。
安全小貼士:智者千慮,必有一失,雖然新版一如既往的繼承Discuz!程序安全至上的傳統(tǒng),但您一定可別忘了服務(wù)器的安全配置和數(shù)據(jù)及時(shí)備份喲,兩手抓,兩手都要硬,才是網(wǎng)站穩(wěn)定發(fā)展的保障。
下面舉兩個(gè)小小的細(xì)節(jié)改進(jìn),大家一定要注意,和原來(lái)的版本可不一樣喲。:)
登錄時(shí)本地對(duì)登錄密碼加密
有社區(qū)里站長(zhǎng)朋友建議:把密碼在本地加密后在發(fā)送給服務(wù)器,因?yàn)椤艾F(xiàn)在局域網(wǎng)ARP欺騙猖狂,將用戶(hù)密碼本地md5之后再發(fā)給服務(wù)器。”
Discuz!新版啟用本地安全加密登錄
非常感謝這些朋友的建議,在Discuz!新版已經(jīng)改進(jìn)本地加密登錄密碼。在用戶(hù)登錄時(shí)候,系統(tǒng)將用戶(hù)的密碼首先在本地加密,再提交給服務(wù)器驗(yàn)證,一定程度防止了當(dāng)用戶(hù)所在的網(wǎng)絡(luò)被監(jiān)控后,用戶(hù)密碼輕易被盜用的情況,盡可能保證用戶(hù)賬號(hào)的安全。
自定義后臺(tái)管理文件名稱(chēng)
自定義后臺(tái)登錄文件名:用戶(hù)可以自己在config.inc.php里面設(shè)置后臺(tái)登錄的文件名,默認(rèn)為admincp.php。通過(guò)自行修改文件名可以防止當(dāng)管理員密碼被盜,入侵者可以直接進(jìn)入后臺(tái),一定程度上提升了論壇的安全。
安全小貼士:到時(shí)候Discuz!新版在手,您一定要在興奮之余,不要忘記修改一下admincp.php的文件名喲。
沒(méi)有最安全,只有更安全,為了大家網(wǎng)站的安全,有更好的高招一定要支出來(lái)喲,新版本的改進(jìn)也許您就是主角。:)
