PbootCMS安全优化

大家如果遇到被黑，被篡改标题，被跳转，自己无法解决的话可以联系我们，一次性解决问题，终身售后！

PbootCMS作为免费可商用的CMS程序，备受广大建站用户喜爱，我们在使用Pbootcms时，也忽视了一些安全防护设置，这样会导致系统安全系数降低，被黑或者被注入的概率极高，毕竟这世界百分百存在着极多的无聊hacker对全网的网站进行扫描，扫到你这个菜站，尤其是主流的CMS，所以在开发前做好安全防范还是很有必要的！

安全防护一：权限设置

目录 建议设置权限

/apps 禁止写入

/config 读写权限

/core 禁止写入

/data 读写权限

/doc 禁止写入，可删除

/rewrite 禁止写入，可删除

/runtime 读写权限

/static 读写权限

/template 禁止写入

安全防护二：基础安全设置

名称 安全建议

后台路径修改 默认后台登录路径admin.php修改为其他名称，如xxx.php

账号密码修改 登录后台->右上角->修改账号密码

模板路径启用子目录 配置参数->安全设置->模板子目录启用；对应模板路径也做相应修改

留言验证码 配置参数->安全设置->启用

表单验证码 配置参数->安全设置->启用

安全防护三：主机安全防护

主机安全防护只针对独立服务器或者VPS。

WIN服务器：可以安装安全狗、『D盾_防火墙』

宝塔面板安装：网站防窜改程序、宝塔系统加固；

安全防护四：robots.txt防御（非必须）

针对近期pbootcms收录中毒问题，可进行robots.txt禁止收录设置，代码如下。

User-agent: *

Disallow: /admin/*

Disallow: /skin/

Disallow: /template/

Disallow: /static/*

Disallow: /api/*

Disallow: /?*

Disallow: /app*/

Disallow: /app

安全防护五：被动防御之程序定期备份

正常更新网站的时候，千万不要忽略的备份，不要不以为然，以为一旦丢失了数据，无法恢复的话，没有备份可能会造成不可逆的灾害，程序备份有若干种方法，建议参考以下几个备份方法完成。

备份项目 备份流程

程序手工备份 登录网站后台--备份数据库--压缩全站--下载保存

服务器快照备份 一些主流服务器厂商支持磁盘实例快照备份保存

三方软件备份如宝塔面板，可以支持定期备份网站及数据库

-----------------------------------

在使用 PbootCMS 时，确保系统的安全性是非常重要的。以下是一些详细的安全防护措施，分为几个方面：权限设置、基础安全设置、主机安全防护、robots.txt 防御以及程序定期备份。

安全防护一：权限设置

为了提高系统的安全性，可以通过设置目录权限来防止未经授权的访问和修改。以下是一些建议的权限设置：

目录	权限建议
/apps	禁止写入（建议设置为 755）
/config	读写权限（建议设置为 777）
/core	禁止写入（建议设置为 755）
/data	读写权限（建议设置为 777）
/doc	禁止写入，可删除（建议设置为 755）
/rewrite	禁止写入，可删除（建议设置为 755）
/runtime	读写权限（建议设置为 777）
/static	读写权限（建议设置为 777）
/template	禁止写入（建议设置为 755）

安全防护二：基础安全设置

1. 后台路径修改：

   • 将默认后台登录路径 admin.php 修改为其他名称，如 xxx.php。
   • 修改方法：在 config 目录下的 config.php 文件中，修改 admin_path 参数。

2. 账号密码修改：

   • 登录后台 -> 右上角 -> 修改账号密码。
   • 确保使用强密码，并定期更换密码。

3. 模板路径启用子目录：

   • 在后台配置参数 -> 安全设置 -> 启用模板子目录。
   • 修改模板路径以增加复杂度。

4. 留言验证码：

   • 在后台配置参数 -> 安全设置 -> 启用留言验证码。

5. 表单验证码：

   • 在后台配置参数 -> 安全设置 -> 启用表单验证码。

安全防护三：主机安全防护

主机安全防护主要适用于独立服务器或 VPS。

1. Windows 服务器：

   • 安装安全软件，如安全狗、D盾防火墙等。

2. Linux 服务器：

   • 使用宝塔面板安装网站防篡改程序、宝塔系统加固等。

安全防护四：robots.txt 防御

针对近期 PbootCMS 收录中毒问题，可以使用 robots.txt 文件来禁止搜索引擎收录某些路径，从而降低被攻击的风险。

plaintext

User-agent: *
Disallow: /admin/*
Disallow: /skin/
Disallow: /template/
Disallow: /static/*
Disallow: /api/*
Disallow: /?*
Disallow: /app*/
Disallow: /app

安全防护五：被动防御之程序定期备份

1. 手动备份：

   • 定期手动备份整个网站的文件和数据库。
   • 使用 FTP 客户端下载文件，并使用数据库管理工具（如 phpMyAdmin）导出数据库。

2. 自动备份：

   • 使用宝塔面板或其他服务器管理工具设置自动备份。
   • 定期将备份文件存储到远程服务器或云存储中。

示例步骤

权限设置

1. 使用 SSH 连接到服务器：

   bash

   ssh user@your_server_ip

2. 设置目录权限：

   chmod 755 /path/to/your/pbootcms/apps
   chmod 777 /path/to/your/pbootcms/config
   chmod 755 /path/to/your/pbootcms/core
   chmod 777 /path/to/your/pbootcms/data
   chmod 755 /path/to/your/pbootcms/doc
   chmod 755 /path/to/your/pbootcms/rewrite
   chmod 777 /path/to/your/pbootcms/runtime
   chmod 777 /path/to/your/pbootcms/static
   chmod 755 /path/to/your/pbootcms/template

后台路径修改

1. 修改 config.php 文件：
   • 找到 config.php 文件中的 admin_path 参数。
   • 修改为新的后台路径名称，如 xxx.php。

账号密码修改

1. 登录后台：
   • 登录后台 -> 右上角 -> 修改账号密码。
   • 设置强密码，并定期更换。

启用模板子目录

1. 后台配置参数：
   • 进入后台 -> 配置参数 -> 安全设置 -> 启用模板子目录。
   • 修改模板路径以增加复杂度。

启用验证码

1. 后台配置参数：
   • 进入后台 -> 配置参数 -> 安全设置 -> 启用留言验证码。
   • 进入后台 -> 配置参数 -> 安全设置 -> 启用表单验证码。

安装安全软件

1. Windows 服务器：

   • 安装安全狗、D盾防火墙等。

2. Linux 服务器：

   • 使用宝塔面板安装网站防篡改程序、宝塔系统加固等。

robots.txt 防御

1. 创建或修改 robots.txt 文件：
   • 在网站根目录下创建或修改 robots.txt 文件。
   • 添加如下内容：

     User-agent: *
     Disallow: /admin/*
     Disallow: /skin/
     Disallow: /template/
     Disallow: /static/*
     Disallow: /api/*
     Disallow: /?*
     Disallow: /app*/
     Disallow: /app

程序定期备份

1. 手动备份：

   • 使用 FTP 客户端下载文件，并使用数据库管理工具（如 phpMyAdmin）导出数据库。

2. 自动备份：

   • 使用宝塔面板或其他服务器管理工具设置自动备份。
   • 定期将备份文件存储到远程服务器或云存储中。

通过以上步骤，你可以显著提高 PbootCMS 系统的安全性，降低被黑客攻击的风险。如果还有其他问题，可以进一步检查服务器日志文件以获取更详细的错误信息。