子標題:XOOPS安全向導 - 下
- 保護風格目錄﹝themes﹞
-
你可以阻止你的風格目錄被探測器探測到,方法如下:
要求你的服務器是Apache的,而且允許.htaccess文件。 在xoops/themes/文件夾下創建一個.htaccess文件,輸入以下內容:
<Files ~ "theme.html"> Order allow,deny Deny from all </Files> <FilesMatch "theme_blockcenter_?.html"> order deny,allow deny from all </FilesMatch>
- 關掉“列表目錄”功能
-
如果你的服務器有”關閉列表目錄”功能的話,關掉它!如果服務器不提供這個功能,建立一個“index.html”輸入以下代碼:
<script>history.go(-1);</script>
上傳到XOOPS所有的目錄,除了根目錄和模塊的根目錄。
XOOPS默認存在這個文件(index.html),但是我們建議你确保每個目錄里都有這個文件(除了根目錄和模塊的根目錄)。 - 保護管理員的Email地址
- 除了對用戶以外,你絕對不應該把管理員的Email地址告訴給其他人。如果你正在用 “XOOPS headline”模塊,請訪問以下的網址來确保你的管理員Email不洩漏給其他人,方法如下:
修改backend.php
定位於:if (is_array($sarray)) { $tpl->assign('channel_title', xoops_utf8_encode(htmlspecialchars($xoopsConfig['sitename'], ENT_QUOTES))); $tpl->assign('channel_link', XOOPS_URL.'/'); $tpl->assign('channel_desc', xoops_utf8_encode(htmlspecialchars($xoopsConfig['slogan'], ENT_QUOTES))); $tpl->assign('channel_lastbuild', formatTimestamp(time(), 'rss')); $tpl->assign('channel_webmaster', $xoopsConfig['adminmail']); $tpl->assign('channel_editor', $xoopsConfig['adminmail']); $tpl->assign('channel_category', 'News'); $tpl->assign('channel_generator', XOOPS_VERSION); $tpl->assign('channel_language', _LANGCODE); $tpl->assign('image_url', XOOPS_URL.'/images/logo.gif'); 作如下三處修改(紅字): if (is_array($sarray)) { $tpl->assign('channel_title', xoops_utf8_encode(htmlspecialchars($xoopsConfig['sitename'], ENT_QUOTES))); $tpl->assign('channel_link', XOOPS_URL.'/'); $tpl->assign('channel_desc', xoops_utf8_encode(htmlspecialchars($xoopsConfig['slogan'], ENT_QUOTES))); $tpl->assign('channel_lastbuild', formatTimestamp(time(), 'rss')); $tpl->assign('channel_webmaster', XOOPS_URL.'/'); $tpl->assign('channel_editor', XOOPS_URL.'/'); $tpl->assign('channel_category', 'News'); $tpl->assign('channel_generator', 'Xoops'); $tpl->assign('channel_language', _LANGCODE); $tpl->assign('image_url', XOOPS_URL.'/images/logo.gif'); - 第三方模塊
-
注意第三方模塊,這裡邊可能存在一些作者沒有察覺的安全隱患。
如果你正在使用第三方模塊,請經常檢查更新,並且有規律的訪問XOOPS論壇,看一下其他用戶的反映。 - 其他的你應該做的:
- 經常備份你的網站內容。
- 在“訪問量”和安全之間找到平衡點:適當的開啓審核功能。
- 保證你的XOOPS是最新的。
- PHP 和MySQL方面:考慮開啓“cgi-wrap“功能,但這是以犧牲速度為代價的。
- 禁止緩存:如果你是需要出售內容的,考慮在theme.htm的頂部加入以下代碼:
<META NAME=“ROBOTS” CONTENT=“NOARCHIVE”>
這會阻止搜索引擎緩存你的內容。如果不這樣,即使你阻止了一個人的IP,他仍然可以從搜索引擎的緩存中獲得你的內容,但注意,這會使你的搜索引擎排名降低!
-
最後一點:不要過於自信,保持高度仔細。
祝你使用XOOPS愉快!
insraq的主頁:http://isnraq.xoops.cn
XOOPS官方網站:http://www.xoops.org
XOOPS-TIPS.com:http://www.xoops-tips.com
XOOPS CHINA:http://www.xoops.org.cn
