admin文件夹不能改成其它的
admin文件夹不能改成其它的建议能自定义 这样安全性更高点 顶到老大看到为L 顶。确实需要考虑,开源网店比较容易受攻击 顶
需要慎重的考虑...... 没人理???
回复 #1 baoe 的帖子
改文件夹的名字不是好办法;有能力攻击的人就有能耐把 admin 翻出来目前有几种较好的安全措施:
1、[b]物理分离[/b]:在路由上做防护,只允许内网访问 admin 目录,这是最安全的;缺点是自己的员工在外出差也没法访问了~~鱼跟熊掌不可兼得吗!
2、[b]权限控制[/b]:Apache 本身就有目录的权限限制,可对 admin 目录做一些配置以达到阻止非法访问的请求,还可以启用 http 认证,这样就变成了双密码验证了。
3、[b]路径伪装[/b]:利用 Apache Rewrite 模块对路径进行伪装处理,类似于输入这样的网址 http://www.domain.com/admin 的时候就送出 404 错误显示页面不存在,可用正则区配所有的 admin 哦,而自己要访问的话就用一个特殊设定的 ServerName 跟 DocumentRoot 即可,只要不告诉其它人一般猜不出来的。。。
还有其它折衷的办法就不列举了~~
我建议你使用第一种方法物理分离,然后自己的员工在外使用 VPN 不用 ADSL 即可做到鱼跟熊掌兼得(*^__^*) 嘻嘻……
[[i] 本帖最后由 eccom 于 2007-12-6 04:23 编辑 [/i]]
回复 #6 QingHou 的帖子
贡献跟体力有何用处? 改一下总比不改好吧。有能力的人连美国军队的系统都能被入侵,照你这样说就干脆密码都没必要设了。
再说,很多人是用的虚拟主机。阿帕奇,帕个毛啊
[[i] 本帖最后由 hlm 于 2007-12-7 10:20 编辑 [/i]] [quote]原帖由 [i]eccom[/i] 于 2007-12-6 04:11 发表 [url=http://bbs.ecshop.com/redirect.php?goto=findpost&pid=110041&ptid=38689][img]http://bbs.ecshop.com/images/common/back.gif[/img][/url]
改文件夹的名字不是好办法;有能力攻击的人就有能耐把 admin 翻出来
目前有几种较好的安全措施:
1、物理分离:在路由上做防护,只允许内网访问 admin 目录,这是最安全的;缺点是自己的员工在外出差也没法 ... [/quote]
1、[b]物理分离[/b]:在路由上做防护,只允许内网访问 admin 目录,这是最安全的;缺点是自己的员工在外出差也没法访问了~~鱼跟熊掌不可兼得吗!
2、[b]权限控制[/b]:Apache 本身就有目录的权限限制,可对 admin 目录做一些配置以达到阻止非法访问的请求,还可以启用 http 认证,这样就变成了双密码验证了。
3、[b]路径伪装[/b]:利用 Apache Rewrite 模块对路径进行伪装处理,类似于输入这样的网址 [url]http://www.domain.com/admin[/url] 的时候就送出 404 错误显示页面不存在,可用正则区配所有的 admin 哦,而自己要访问的话就用一个特殊设定的 ServerName 跟 DocumentRoot 即可,只要不告诉其它人一般猜不出来的。。。
物理分离,太不现实了,并不是所有的维护人员都是技术,不可行
权限控制,并不是全部都是自己的服务器,很多都是用的虚拟空间,另外一方面如果要涉及到http认证,实现难度就稍微大了点
路径伪装,我觉得这个可行性高点,赞同用这样的方法,如果能实现伪静态就更好了,随时更改路径
页:
[1]