共计 1036 个字符,预计需要花费 3 分钟才能阅读完成。
删除安装文件
Typecho 成功安装后,删除根目录下的 install.php 文件、install文件夹。
修改后台地址
将根目录下的 admin 文件夹改名为黑客猜不到的名字,例如google,防止黑客穷举密码。
然后修改根目录下 config.inc.php 文件中后台路径配置:
// admin directory (relative path)
define('__TYPECHO_ADMIN_DIR__', '/google/');之后访问后台就用 你的域名 /google/,原来的 你的域名 /admin/则不能访问。
修改文件权限
屏蔽 usr、var 目录下 php 文件的访问可阻止黑客访问到他上传的php 木马。这里利用 Rewrite 伪静态机制来做,以 Apache 服务器为例,同时屏蔽 config.inc.php 和.htaccess 的访问。
屏蔽原理是把要屏蔽的请求重定向到首页文件,首页文件会被当成文章名来解析,没有同名文章就会返回 404 未找到。所以就算黑客上传了木马也只会得到 404 未找到的响应。
新建.htaccess 文件添加以下内容,上传到 typecho 博客根目录。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
RewriteRule (var|usr)(.+ph*)$ index.php [F,L]
RewriteRule (config.inc.php|.htaccess)$ index.php [F,L]
</IfModule>如果是 Nginx 的话,在配置文件(nginx/conf/include/ 你的域名.conf)添加如下伪静态规则:
if (!-e $request_filename) {rewrite ^(.*)$ /index.php$1 last;
}
rewrite /(var|usr)(.+ph*)$ /index.php;
rewrite /(config.inc.php|.htaccess)$ /index.php last;做了以上防范事项,黑客想要黑我们的网站难度就会大大增加,知难而退了。
但是,还是不能大意,平时一定要养成网站数据常备份的习惯,这样即使被黑客入侵导致数据丢失,也能恢复,避免造成不可挽回的局面。
正文完
