PbootCMS程序安全設置建議

近期遇到部分使用PbootCMS開源程序的客戶反饋網站被掛馬/入侵等情況，我司核實原因是由于此程序存在漏洞，用戶可以按照以下建議進行安全設置。

虛擬主機

一、程序建議：

1、登錄后臺，將程序升級到最新版本，密碼重置為復雜密碼。

2、若網站不需要留言，可以關閉留言功能。

3、修改 /data 目錄名稱，修改為其他名稱，比如 daj4oy7fd ， 然后修改配置文件 /config/database.php 的數據庫路徑為剛剛修改的名稱

4、將后臺文件 admin.php 修改為其他名稱，比如 xxx222.php ， 之后使用   域名/新名稱.php  登錄后臺

5、刪除不需要的文件及目錄 /doc 、/rewrite 、/api.php (一般企業網站不需要使用，可以刪除)

二、權限設置

1、登錄虛擬主機文件管理  ，勾選 wwwroot 目錄 點擊權限，將目錄設置為只讀。 

點擊 權限后，在 彈出的界面 勾選  設為只讀，然后點擊 確定設置。

2、然后通過文件管理，依次將  /data （新名字） 、/runtime 、 /static 、/config 、/uploads ，目錄設置為  可讀可寫 ；

點擊 權限后，在 彈出的界面 勾選 可讀可寫，然后點擊 確定設置。

3、在虛擬主機控制面板，點擊 目錄保護，依次 將  /static  、/skin 、/template 、/uploads 、/apps 、/runtime 設置文件保護 ；

點擊 ，目錄保護 ，在頁面 中點擊 瀏覽，選擇對應的文件夾。

云服務器

1、云服務器也可以按照以上的建議操作，設置權限，禁止腳本執行等。

2、安裝安全軟件，比如 安全狗,云鎖等設置防篡改

3、定期備份重要數據，比如云快照 或手動備份。

以上的安全設置建議 無法100% 解決PbootCMS被掛馬或中木馬問題，但可以降低被黑的頻率。用戶也需要自己關注程序更新/漏洞修復等。 

另外，無論是虛擬主機 還是云服務器 網站要定期做備份，避免被黑后無法恢復數據。