MAXcms简单安全手册,减少被挂马,你做了几点?

近期发现有些用户说自己被挂马,其实很多时候应该从自己这里找原因,

而不是一有问题就说程序有问题!这里给大家来几招max使用相对安全的举措!

包括不少用户反映,play.js被挂马,这里也分析了几个案例,给大家一些建议

1.做好服务器安全

不会做服务器安全的可以联系服务器代维人员或者联系服务商帮你进行设置

2.不使用ftp的时候关闭ftp服务

不使用ftp的时候请关闭ftp服务,需要的时候远程登录服务器开启

3.不使用默认的3389端口登录,禁止使用administrator用户新建自己的定义的用户来使用

4.不要把maxcms的程序和其他的程序放在同一个目录里面运行

5.多个站点使用的使用,请把maxcms单独划分在一个应用池里面,每个站点使用不同的用户名来设置权限,不要使用iis自带的那个用户名来进行设置,不熟悉的可以叫服务商安装虚拟主机管理系统

6.不要使用来历不明的插件,因为插件可以暴露后台的地址,可以统计出来你的站点的信息,容易引发安全问题

7.添加一个新的管理账户,删除默认的admin账号,admin目录在ftp修改的尽量复杂

8.数据库篇

对于access数据库而言,服务商一般都给我们提供了wwwroot
database log或者web db
logs或者相似的文件夹,这里的db和database都是为网站提供数据库存放的地方的!这个位置web页面访问不到,只能通过ftp下载!所以只要主机和FTP安全,就下载不到数据!

后台我们设置数据库的时候可以设置

/../db/数据库名称 /../database/数据库名称,对于gd主机开启access支持/access_db/数据库名称

这样做数据库就安全了,大大提高了安全性

9.后台登陆位置默认为admin,需要自己更改相对复杂不容易被猜到的地址,避免简单密码用户被破解!

10.网站相关设置

后台留言管理账号密码,要记得修改!前台不提供留言管理的登录,需要管理的时候在后台管理

删除gbook.html中{gbook:main}即可

11.针对js和template目录配置好信息以后,设置禁止写入,这样可以一定程度上避免被入侵!

12.关于模板,默认的模板保护目录为html.避免模板被盗用,记得要修改模板的保护目录!

最后建议大家养成备份的好习惯,可以在上面第一步提到的把数据库备份以后,位置在inc目录databasebak文件夹,使用FlashFXP等工具移动到db database等目录,避免被破坏！