PbootCMS程序安全设置建议

近期遇到部分使用PbootCMS开源程序的客户反馈网站被挂马/入侵等情况,我司核实原因是由于此程序存在漏洞,用户可以按照以下建议进行安全设置。

虚拟主机

一、程序建议:

1、登录后台,将程序升级到最新版本,密码重置为复杂密码。

2、若网站不需要留言,可以关闭留言功能。

3、修改 /data 目录名称,修改为其他名称,比如 daj4oy7fd , 然后修改配置文件 /config/database.php 的数据库路径为刚刚修改的名称

4、将后台文件 admin.php 修改为其他名称,比如 xxx222.php , 之后使用 域名/新名称.php 登录后台

5、删除不需要的文件及目录 /doc 、/rewrite 、/api.php (一般企业网站不需要使用,可以删除)

二、权限设置

1、登录虚拟主机文件管理 ,勾选 wwwroot 目录 点击权限,将目录设置为只读。

点击 权限后,在 弹出的界面 勾选 设为只读,然后点击 确定设置。

2、然后通过文件管理,依次将 /data (新名字) 、/runtime 、 /static 、/config 、/uploads ,目录设置为 可读可写 ;

点击 权限后,在 弹出的界面 勾选 可读可写,然后点击 确定设置。

3、在虚拟主机控制面板,点击 目录保护,依次 将 /static 、/skin 、/template 、/uploads 、/apps 、/runtime 设置文件保护 ;

点击 ,目录保护 ,在页面 中点击 浏览,选择对应的文件夹。

云服务器

1、云服务器也可以按照以上的建议操作,设置权限,禁止脚本执行等。

2、安装安全软件,比如 安全狗,云锁等设置防篡改

3、定期备份重要数据,比如云快照 或手动备份。

以上的安全设置建议 无法100% 解决PbootCMS被挂马或中木马问题,但可以降低被黑的频率。用户也需要自己关注程序更新/漏洞修复等。

另外,无论是虚拟主机 还是云服务器 网站要定期做备份,避免被黑后无法恢复数据。

原文链接:https://www.west.cn/faq/list.asp?unid=2570

相关推荐
神经毒素20 分钟前
WEB安全--文件上传漏洞--其他绕过方式
安全·web安全·文件上传漏洞
神经毒素10 小时前
WEB安全--文件上传漏洞--一句话木马的工作方式
网络·安全·web安全·文件上传漏洞
杭州默安科技11 小时前
大模型AI Agent的工作原理与安全挑战
人工智能·安全
rockmelodies17 小时前
OpenSCAP 是一个基于开源的安全合规性自动化框架
安全·开源·自动化
赴前尘18 小时前
Go+Gin实现安全多文件上传:带MD5校验的完整解决方案
安全·golang·gin
IT成长日记18 小时前
Elasticsearch安全加固指南:启用登录认证与SSL加密
安全·elasticsearch·ssl
半路_出家ren18 小时前
网络安全设备介绍:防火墙、堡垒机、入侵检测、入侵防御
安全·网络安全·负载均衡·堡垒机·防火墙·网络安全设备·上网行为管理
IT程序媛-桃子18 小时前
【网安面经合集】42 道高频 Web 安全面试题全解析(附原理+防御+思路)
运维·网络·安全·面试
予安灵18 小时前
《白帽子讲 Web 安全》之服务端请求伪造(SSRF)深度剖析:从攻击到防御
前端·安全·web安全·网络安全·安全威胁分析·ssrf·服务端请求伪造
蒜白18 小时前
27--当路由器学会“防狼术“:华为设备管理面安全深度解剖(完整战备版)
网络·安全·网络工程师·交换机