zen-cart安全建议

最近很多Zen Cart的网店遭遇黑客攻击，以下是Zen Cart官方列出的一些安全建议.

1. 重命名admin目录 并且打上最新的zen cart 安全补丁

A- 打开文件 admin/includes/configure.php.

将所有出现 /admin/ 的地方改成自己定义的名字

需要修改的部分:

define(’DIR_WS_ADMIN’, ‘/admin/’);

define(’DIR_WS_CATALOG’, ‘/’);

define(’DIR_WS_HTTPS_ADMIN’, ‘/admin/’);

define(’DIR_WS_HTTPS_CATALOG’, ‘/’);

 

define(’DIR_FS_ADMIN’, ‘/home/mystore.com/www/public/admin/’);

define(’DIR_FS_CATALOG’, ‘/home/mystore.com/www/public/’);

B- 将Zen Cart的目录/admin/按照 admin/includes/configure.php 中的定义作相应修改。

C-安装Zen Cart安全补丁，地址：http://www.zen-cart.com/forum/showthread.php?t=130161

2. 置configure.php文件为只读

configues.php位于

/<YourStoresFolder>/includes/configure.php

/<YourStoresFolder>/admin/includes/configure.php

注意：通过ftp修改权限为只读无效，必须通过你的hosting服务商的cpanel修改

3. 删除多余的没有用到的管理员账号，比如demo等

4. 管理员账号安全

     管理员账号应该非常复杂，比如带数字，大小写，特殊字符，长度超过8位，具体在Admin->Tools->Admin Settings里面设置新的密码

5.保护你的html_includes下面的define pages

    将以下文件置为只读， 当然前提是你已经设计好你的网站，无须修改这些文件，如果需要修改，改为可写，然后再置为只读

/includes/languages/english/html_includes – and all files/folders underneath

6. 使用.htaccess 文件防止非法的snoop

默认的.htaccess文件里面应该有如下设置

IndexIgnore */*

<Files *.php>

Order Deny,Allow

Deny from all

</Files>