細微之處見功夫,安全問題最重要的是細節上的留心,新版Discuz!在安全上也下足了功夫。
新版Discuz!采用獨家研發的防陷落系統,經過數次優化。系統對管理后臺權限進行了比較大的限制,管理后臺所有數據亦嚴格過濾,并且對模板編輯、數據庫導入等可能引起權限提升或者放置木馬的操作進行了禁止。文件校驗工具,幫助站長檢查論壇程序文件,確保系統文件的完整性,有效的防范惡意木馬、非法入侵等攻擊行為。
安全小貼士:智者千慮,必有一失,雖然新版一如既往的繼承Discuz!程序安全至上的傳統,但您一定可別忘了服務器的安全配置和數據及時備份喲,兩手抓,兩手都要硬,才是網站穩定發展的保障。
下面舉兩個小小的細節改進,大家一定要注意,和原來的版本可不一樣喲。:)
登錄時本地對登錄密碼加密
有社區里站長朋友建議:把密碼在本地加密后在發送給服務器,因為“現在局域網ARP欺騙猖狂,將用戶密碼本地md5之后再發給服務器。”
Discuz!新版啟用本地安全加密登錄
非常感謝這些朋友的建議,在Discuz!新版已經改進本地加密登錄密碼。在用戶登錄時候,系統將用戶的密碼首先在本地加密,再提交給服務器驗證,一定程度防止了當用戶所在的網絡被監控后,用戶密碼輕易被盜用的情況,盡可能保證用戶賬號的安全。
自定義后臺管理文件名稱
自定義后臺登錄文件名:用戶可以自己在config.inc.php里面設置后臺登錄的文件名,默認為admincp.php。通過自行修改文件名可以防止當管理員密碼被盜,入侵者可以直接進入后臺,一定程度上提升了論壇的安全。
安全小貼士:到時候Discuz!新版在手,您一定要在興奮之余,不要忘記修改一下admincp.php的文件名喲。
沒有最安全,只有更安全,為了大家網站的安全,有更好的高招一定要支出來喲,新版本的改進也許您就是主角。:)
