ECShop 网店安全建议参考

ECShop 太古老了,自从被收购之后就沦为弃儿了,,不过用的人还真不少,,

以下安全建议仅供参考

服务器及程序目录方面:
1、只开放 temp,images,themes,data这4个目录的读写权限,其他目录包括根目录只能读取,即为0644。
2、删除备份文件夹,demo文件夹,install等文件夹。
3、mysql数据库,默认前缀是ecs,建议将他修改成其他的。
4、修改PHP.INI 文件配置
(1)# 禁用危险的函数 #
disable_functions = phpinfo, system, mail, exec
(2)PHP.INI.可关闭PHP自带的ZIP组件;
(3)PHP.INI其他修改
#不将PHP错误消息暴露给外部用户
设定display_errors = Off

4、选一家“好”的空间服务商,比如阿里云。

ECShop软件自身方面:
1、272版本之后修改后台登录地址非常方便,修改admin文件夹名称为“ecdenglu”,打开data/config.php文件,搜里面所有“admin”字样改成“ecdenglu”字样就行,这样访问域名/ecdenglu 即可连接到后台,另外别忘了在robots.txt中禁止这个目录被搜索引擎爬虫抓取(参考:http://bar.baidu.com/robots/ )。
2、修改init.php文件,@ini_set(‘display_errors’, 1);改为@ini_set(‘display_errors’, 0);
2、修改cls_mysql.php文件的ErrorMsg函数,注释掉那些错误提示,或者把错误写入文件。
3、给所有$_COOKIE,$_POST,$_GET,$_REQUEST变量加sql关键字过滤。
4、关注下ECShop爆的漏洞,能修就修下!

ECShop日常管理方面:
1、定期的清理一下垃圾会员帐号。
2、定期去官方论坛逛逛。
3、创建后台管理角色,分配“够用”权限,分配管理员帐户。

参考文档:

ECShop 网店安全建议参考


http://bbs.ecshop.com/thread-149984-1-1.html
http://bbs.ecshop.com/forum-99-1.html

One Reply to “ECShop 网店安全建议参考”

  1. I absolutely love your blog and find nearly all of your post’s to be just what I’m looking for. can you offer guest writers to write content to suit your needs? I wo&n;lu#8217dt mind creating a post or elaborating on a number of the subjects you write regarding here. Again, awesome blog!

Comments are closed.