YoudianCMS v9.5.0 重点在安全性方面做了极大的提升、为安全而生,不用再担心网站被黑了
1、实现微信扫码登录后台,更安全,再也不用记密码
扫码登录的好处:
1)不需要记住密码登录,更方便,特别是管理多个网站时超实用。
2)更安全:不用担心密码泄露、或密码被黑客截获。
操作方法:
依次点击【设置】-【安全设置】找到绑定微信 扫码登录后台,然后点击【立即绑定】按钮,弹出二维码,用微信扫码即可绑定
绑定后,会显示当前绑定的微信账户
绑定成功以后,退出后台,返回到登录页面,即可看到扫码登录,点击右上角图片可以在账号密码登录和扫码登录之前进行切换
打开微信,扫一扫即可登录后台,是不是很方便!
2、编辑网站资料,可以设置二次安全验证
应用场景:
在某些特殊的情况下,如:系统密码泄露或被注入黑客脚本,被攻击者非法登录后台,这种情况下,如果设置了二次安全验证问题,攻击者也无法篡改网站资料。因此,强烈建议设置二次安全验证问题,系统将更加安全可靠,可有效防止黑客攻击
操作方法:
依次点击【设置】-【安全设置】找到二次安全验证
设置完成以后,凡是编辑操作,保存之前,首次都会需要回答问题进行验证,后续的每次编辑操作,不需要再次回答问题:
3、增加安全设置,将和安全相关的设置放到一起,便于操作
系统安全设置主要包含以下的几个方面:
1)后台登录名称
此功能之前的版本就存在,但是如果直接输入后台登录地址全路径,还是可以容易找到登录入口。本次更新彻底解决了这个问题,如果设置为admin123,那么后台地址就是:
http://您的网址/admin123,如果不知道后台地址就无法登录
2)后台访问IP白名单
如果设置了后台访问白名单,那么只有指定的IP才能访问后台,对于有固定IP的企业非常有用,可以杜绝黑客登录后台,极大地提高系统安全性。
如果你没有固定IP,可以使用代理服务器作为固定IP,来访问后台。在浏览器里设置代理服务器的地址,然后通过浏览器访问即可
3)目录权限检测和设置建议
设置步骤:
第一步:网站安装完成后,先将整个网站根目录设置为只读;
第二步:然后将
/Data和
/Upload目录设置为
可读写并
关闭脚本可执行权限。
这里特别说明:
关闭脚本可执行权限,不是关闭目录的执行权限(与Linux操作系统有关)、
而是关闭目录的脚本执行权限(需要修改web服务器的配置)
目录权限设置教程 点击查看>>
设置完成以后,在安全设置页面里,可以看到没有权限是否设置正确,请参见表格的【权限是否正确】列。
请大家务必按指定要求设置权限,这样,就可以彻底防止黑客挂马。请正确设置权限、正确设置权限、正确设置权限,重要的事情说三遍
4)二次安全验证问题
详见上面的介绍
5)微信扫码登录
详见上面的介绍
4、密码的加密算法增强
目前网站密码的存储主要有以下几种方式
1)明文存储
2011年,国内某程序员大型社区
CS**网站的安全系统遭到黑客攻击,600万用户的登录名、
密码泄漏。令人不可思议的是,密码竟然采用明文存储。
这种方式现在已经很少使用了,及其不安全,一旦泄露,危害重大。
2)md5等单向加密后存储
现在多数网站就是使用md5或sha等单向加密算法,但是这种算法不是特别安全,尤其是你的密码位数少强度低,黑客很容易使用彩虹表进行碰撞暴力破解,在v9.5.0版本前,我们就是使用这种加密算法
3)md5+随机盐单向加密后存储
这种方式是对方式2)进行了增强,加密时对每个密码使用随机盐,让黑客不能使用固定的彩虹表破解,要破解,就必须为每个密码重新构建彩虹表来破解,极大地加大了破解的难度和时间,但是和方式2)没有本质的区别
4)BCrypt加密算法
bcrypt算法采用了一系列各种不同的Blowfish加密算法,并引入了一个work factor,这个工作因子可以让你决定这个算法的代价有多大。因为这些,这个算法不会因为计算机CPU处理速度变快了,而导致算法的时间会缩短了。
此算法的特点:慢,如果加密“cool”的话(work factor=12),
bcrypt需要0.3秒,而MD5只需要1微秒(百万分之一秒)。
也就是说,
只需要40秒就穷举破解的MD5算法,在使用bcrypt下,需要12年。
这种算法可以有效抵御彩虹表攻击,即使密码泄露,仍然可以得到有效的保护,黑客无法大批量破解用户密码,从而切断撞库扫号的根源
升级有的友点CMS就是使用bcrypt算法加密,不用再担心黑客脱库,暴力破解密码了
5、删除并优化后台可能存在的安全隐患功能
主要屏蔽了以下几个功能
1)去除在线编辑模板功能
在后台,我们是可以直接对模板代码进行编辑的,这样虽然很方便,但是如果被非法登录后台,就很容利用此功能注入木马和篡改网站关键词
2)删除在线安装模板功能
模板安装包是zip格式的,如果在zip压缩包里放入病毒脚本,就会很容易地安装到系统
3)一键备份会排除数据库配置文件
数据库配置文件由于包含了:连接数据库账号和密码敏感信息、一键备份后,不会包含此文件,避免泄露此信息
4)强制记录管理员所有操作日志,并且不能被删除
当网站收到非法篡改时,可以通过分析日志就可以确定是谁做的操作,操作者位于哪里。此日志不能再后台被删除
5)隐藏一键备份压缩包和数据库备份sql文件真实地址,无法直接下载
6、安全隐患提醒
登录后台后,如果系统存在安全隐患或安全配置存在问题,系统会弹框提醒,有效帮助正确设置系统。如下图所示:
对话框提示有2个安全隐患,点击【查看安全设置】,去设置此2项即可
最后总结一下,不是每一个安全设置都必须使用,只有二次安全验证问题和目录权限这这2项才是必须的,请务必正确设置,如果未正确设置,每次登录后台都会弹框提醒。
