wellcms 一直没有在安全方面进行强调,但不代表不重视安全。这个时代安全是最主要的,但不是宣传的重点,wellcms有着安全的过滤机制,拼接 SQL 的相关函数也严格进行了转义,不用再担心被 Webshell,SQL 注射等这些问题困扰。没有进行过度强调,因为,安全已是最基础的保证。
安全问题是综合问题,是相对的,程序本身做到安全只是最基础保障,还有很多人为因素,最终还是要靠站长的安全意识来保障。比如,越权、跨站、系统漏洞、弱密码、社工等等,都可能成为攻击站点和服务器的突破口。
(1)尽量选择安装linux系统,不要使用虚拟机,容易被跨站攻击;
(2)linux关闭root密码登录系统,改为证书登录;
(3)关闭ftp及一些不需要的端口,或者开启云盾之类的保护;
(4)控制目录权限,安装好wellcms后,登录linux,在站点配置文件server添加如下代码,禁止这些目录运行php文件。
location ~ /(conf|lang|log|model|plugin|route|upload|view|xiunophp)/.*\.php$ { deny all; }
(5)及时给linux系统打补丁,或者添加启动进程,每天自动检查补丁升级;
(6)管理员密码尽量使用 符号+字母大小写;
(7)插件方面尽量不要使用盗版或非官方提供的插件;
(8)为站点配置CDN服务,并开启程序CDN,如何开启请参考 http://www.wellcms.cn/read-125.html
(9)修改或删除后台目录(admin),主程序升级的时候,自行手动覆盖升级即可。
做到以上这些,相对来说,会比较安全,但不能保证百分百安全,必定客观因素还有很多。