zblog文件目录权限安全设置指南
zblog程序,为最大化的安全考虑,防止被黑或是系统漏洞网站被攻破,可以在面板的文件管理里操作,将网站权限做如下设置。
一、保留w权限
需要保留w权限的目录及子目录及其下所有文件
zb_users/cache
zb_users/upload
二、删除w权限
需要删除w权限的有
zb_system及其子目录
zb_users下除了cache,upload的其它目录
根目录下的index.php,feed.php,search.php
三、无法覆盖或不能安装应用
解决不能ftp覆盖或不能安装主题,插件的问题:
1.如果要覆盖zb_system就在文件管理里给zb_system及子目录增加w权限
2.如果要安装新插件,zb_users下的plugin目录也要增加w权限
3.其它有需求目录也同样处理。
4.为了防止黑客种木马在网站里,覆盖完成后请尽快删除增加的w权限
四、防篡改
开启宝塔的代码防篡改功能。
开启此功能期间,在zblog应用中心安装应用会提示《授权文件非法》,所以安装应用的时候记得临时关闭此功能。
五、nginx的安全配置
location ~* /(zb_users/cache|zb_users/upload|zb_users/logs)(.*)\.php$ {
deny all;
return 404;
}
location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md)
{
return 404;
}
