现在使用zblog系统的很多网站都没有进行网站后台加密,大多数站长都习惯使用zblog默认后台地址登入,这样直接暴露在外面是很危险的,万一你密码设置简单被黑客利用工具爆破了怎么办?有什么样的后果我们万万是想不到的,当然zblog这款开源程序现如今已经非常完善了相对来说是比较安全的,除了极少数的XXS跨站脚本攻击外,没有什么其他的重大安全漏洞,大家可以放心选择使用,但还有以下几点需要我们自己注意的安全隐患。
网络安全没有绝对只有相对,所谓道高一尺魔高一丈,我们要不断的学习和探索跟进最新的安全建站技巧,才能更有效的采取相应自我保护措施,在很多时候造成网站被黑往往是我们自身的设置问题。现在的互联网技术想要入侵一个小小的网站,并不是只靠简单SQL注射工具,方法真的是五花八门各种各样的,只有你想不到的,没有黑客做不到的,比如社工(社会工程学)简称。简单来说就是用来破解猜测各类数据密码,由此可见我们平时网站后台设置的密码应该尽量复杂化以防后患,防止黑客通过工具扫描弱口令猜测出来几率也大大降低了,假如被猜测出来后果不堪想象,老翰建议大家设置密码字节16位大小写字母+数字。
上面我们谈到了社工,目前还在使用zblog的朋友们需要注意下了,为了你的网站安全起见,一定要改掉zblog默认后台登入地址,那zblog网站后台登录地址怎么修改呢?首先我不推荐大家直接修改zblog默认后台地址,因为修改起来真的很繁琐和麻烦,涉及很多代码都是息息相关联的,弄不好也非常容易造成网站一些报错,差不多就是挖东墙补西墙的意思,下面老翰就分享一个非常简单实用的解决方法,那就是在原后台基础上面加一些安全策略,打个小比方:比如method发生数据方式get/post/二个值action地址发送给谁?这个action发生给谁由你而定。
那使用zblog网站后台地址如何进行加密呢?这个方法使用后,后台登陆地址需要输入正确的问题和答案才能进入后台登入页面,这个问题和答案你可以由你自定义,如果输入错误则会自动301跳转到网站首页,这样做也提升了网站seo优化,同时也提升了网站安全,两全其美何乐而不为,上面说这么多就是让大家有对网站安全知识多一些了解,接下来直接说方法吧。zblog后台加密方法:只限ZBLOGPHP版本使用,本方法全网最详细,精确到了任何一个细节。
1、登入后台-应用中心-下载(文件管理)插件并启用,进去可以看到zb_users/theme/(选择你模板)include.php文件,打开后在<?php最底部将下列代码加入:
function zblog_login_encrypt(){ global $zbp; $wen="problem"; //问题,请在引号内输入问题,注意不要使用中文 $da="Answer"; //答案,请在引号内输入答案,不要使用中文 if($_GET[''.$wen.''] !== ''.$da.'') { Redirect($zbp->host); die(); //如输入错误,返回首页,终止一切代码 } }
2、继续在include.php文件里面查找:function ActivePlugin_下面加入以下代码:
Add_Filter_Plugin('Filter_Plugin_Login_Header','zblog_login_encrypt');//挂载登录页接口
3、 完成以上二个步骤后,恭喜你zblog后台加密成功,快去试试有没有成功,没成功那就多看看上面的教程多试几次,实在搞不好也欢迎在下方评论区给我留言。
需要注意:网站后台:/zb_system/login.php?problem=Answer (PS:地址中的 problem 请自行替换为自己的问题,Answer 也请自行替换为自己的答案)
温馨提示:本加密代码挂载了login.php,如果你的网站使用了其他的用户中心或主题自带的用户中心登入地址,此加密方法均为无效。原默认网站后台地址:/zb_system/login.php 同时也会失效,请使用加密后的地址:/zb_system/login.php?problem=Answer 来登录网站后台,如忘记了之前设置的问题和答案,请使用FTP文件协议传输工具或进入服务器找到你的网站主题下面的include.php 按上面方法来修改原来设置的问题和答案,也可以直接删除掉,去掉后就格式化了恢复原来的默认登入后台地址。
感谢34资源网站长的免费分享,原文地址:https://www.34l.com/yybj/3945.html