网站的安全性是非常重要的条件。网站无论多么强大、易于使用、安全都毫无意义。分为服务器和代码两个方面进行说明。
1、建议Linux+Nginx+Mysql php服务器7.1以上
2、当web站点联机时,除runtime目录和public/uploads目录外,对其他目录设置555或只读权限。
3、添加到服务器段的Nginx配置:
## 禁止敏感文件的直接访问 location ~ ^/(uploads|static)/.*.(php|php3|php4|php5|cgi|asp|aspx|jsp|shtml|shtm|pl|cfm|sql|mdb|dll|exe|com|inc|sh)$ { deny all; }
你需要记住原则。也就是说,可以运行php程序的目录不能打开读写许可,也不能对可以读写(如上载)的目录授予php执行许可。
4、php.更改ini,禁用不安全的功能,并按以下方式进行配置:
disable_functions = phpinfo,passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru
5、open_配置basedir,将PHP访问限制在文件系统的位置。例如:
open_basedir=/项目路径/:/tmp/:/proc/
config/app.php的app_debug和app_将trace设置为假,并关闭调试模式。
默认情况下,域名绑定到公共目录,该公共目录是唯一的外部访问目录。除非您实际上不支持域名绑定,否则不建议更改它。
更改默认密码以防止布鲁特力碎裂,且不要过于简单。
禁止对IP进行后台访问。这可以在“设置”-“网站设置”中设置。