默认Typecho程序后台登录地址是网址后面加上/admin/即可看到管理员登录地址。这样直接暴露在用户面前确实有些不安全。最好的办法是将后台地址换一个目录更换掉,这样我们就可以稍微确保网站后台的安全,那应该如何修改呢?

删除安装文件

成功安装后删除install.php文件、install文件夹

修改后台地址

  1. /www/wwwroot/laochao.cc/admin admin修改为黑客猜不到的名字,例如Typecho,防止黑客穷举密码

  2. 修改配置文件config.inc.php以适配修改后的admin路径

    /** 后台路径(相对路径) */
define('__TYPECHO_ADMIN_DIR__', '/Typecho/');

    现在你可以访问你的域名/Typecho/了。这就是你的新的后台地址,原来的你的域名/admin/已经不能访问了。

屏蔽usr、var目录下php文件的访问

屏蔽usr、var目录下php文件的访问可以阻止黑客访问到他上传的php木马
我们利用Rewrite伪静态机制来做。

     if (!-e $request_filename) {
            rewrite ^(.*)$ /index.php$1;
        }
        rewrite /(var|usr)(.+ph*)$ /index.php;
        rewrite /(config.inc.php|.htaccess)$ /index.php last;