PbootCMS程序安全設(shè)置建議

近期遇到部分使用PbootCMS開(kāi)源程序的客戶(hù)反饋網(wǎng)站被掛馬/入侵等情況，我司核實(shí)原因是由于此程序存在漏洞，用戶(hù)可以按照以下建議進(jìn)行安全設(shè)置。

虛擬主機(jī)

一、程序建議：

1、登錄后臺(tái)，將程序升級(jí)到最新版本，密碼重置為復(fù)雜密碼。

2、若網(wǎng)站不需要留言，可以關(guān)閉留言功能。

3、修改 /data 目錄名稱(chēng)，修改為其他名稱(chēng)，比如 daj4oy7fd ， 然后修改配置文件 /config/database.php 的數(shù)據(jù)庫(kù)路徑為剛剛修改的名稱(chēng)

4、將后臺(tái)文件 admin.php 修改為其他名稱(chēng)，比如 xxx222.php ， 之后使用   域名/新名稱(chēng).php  登錄后臺(tái)

5、刪除不需要的文件及目錄 /doc 、/rewrite 、/api.php (一般企業(yè)網(wǎng)站不需要使用，可以刪除)

二、權(quán)限設(shè)置

1、登錄虛擬主機(jī)文件管理  ，勾選 wwwroot 目錄 點(diǎn)擊權(quán)限，將目錄設(shè)置為只讀。 

點(diǎn)擊 權(quán)限后，在 彈出的界面 勾選  設(shè)為只讀，然后點(diǎn)擊 確定設(shè)置。

2、然后通過(guò)文件管理，依次將  /data （新名字） 、/runtime 、 /static 、/config 、/uploads ，目錄設(shè)置為  可讀可寫(xiě) ；

點(diǎn)擊 權(quán)限后，在 彈出的界面 勾選 可讀可寫(xiě)，然后點(diǎn)擊 確定設(shè)置。

3、在虛擬主機(jī)控制面板，點(diǎn)擊 目錄保護(hù)，依次 將  /static  、/skin 、/template 、/uploads 、/apps 、/runtime 設(shè)置文件保護(hù) ；

點(diǎn)擊 ，目錄保護(hù) ，在頁(yè)面 中點(diǎn)擊 瀏覽，選擇對(duì)應(yīng)的文件夾。

云服務(wù)器

1、云服務(wù)器也可以按照以上的建議操作，設(shè)置權(quán)限，禁止腳本執(zhí)行等。

2、安裝安全軟件，比如 安全狗,云鎖等設(shè)置防篡改

3、定期備份重要數(shù)據(jù)，比如云快照 或手動(dòng)備份。

以上的安全設(shè)置建議 無(wú)法100% 解決PbootCMS被掛馬或中木馬問(wèn)題，但可以降低被黑的頻率。用戶(hù)也需要自己關(guān)注程序更新/漏洞修復(fù)等。 

另外，無(wú)論是虛擬主機(jī) 還是云服務(wù)器 網(wǎng)站要定期做備份，避免被黑后無(wú)法恢復(fù)數(shù)據(jù)。