Typecho成功安装后,删除根目录下的install.php文件、install文件夹。
将根目录下的admin文件夹改名为黑客猜不到的名字,例如google,防止黑客穷举密码。
然后修改根目录下config.inc.php文件中后台路径配置:
// admin directory (relative path) define('__TYPECHO_ADMIN_DIR__', '/google/');
之后访问后台就用你的域名/google/,原来的你的域名/admin/则不能访问。
屏蔽usr、var目录下php文件的访问可阻止黑客访问到他上传的php木马。这里利用Rewrite伪静态机制来做,以Apache服务器为例,同时屏蔽config.inc.php和.htaccess的访问。
屏蔽原理是把要屏蔽的请求重定向到首页文件,首页文件会被当成文章名来解析,没有同名文章就会返回404未找到。所以就算黑客上传了木马也只会得到404未找到的响应。
新建.htaccess文件添加以下内容,上传到typecho博客根目录。
<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] RewriteRule (var|usr)(.+ph*)$ index.php [F,L] RewriteRule (config.inc.php|.htaccess)$ index.php [F,L] </IfModule>
如果是Nginx的话,在配置文件(nginx/conf/include/你的域名.conf)添加如下伪静态规则:
if (!-e $request_filename) { rewrite ^(.*)$ /index.php$1 last; } rewrite /(var|usr)(.+ph*)$ /index.php; rewrite /(config.inc.php|.htaccess)$ /index.php last;
做了以上防范事项,黑客想要黑我们的网站难度就会大大增加,知难而退了。
但是,还是不能大意,平时一定要养成网站数据常备份的习惯,这样即使被黑客入侵导致数据丢失,也能恢复,避免造成不可挽回的局面。
本文作者:a
本文链接:
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!