Zen Cart中文版网站安全

Zen Cart™软件使用的是GNU通用公共许可协议,您可以免费使用、修改Zen Cart™软件。
虽然该软件是免费的,但是欢迎您每次下载新版本前捐款,以帮助我们继续软件开发、升级,和维护免费论坛。

捐款网址: Zen Cart™ 团队

感谢您的支持
Zen Cart China


Zen Cart™ 源自: Copyright 2003 osCommerce
该软件希望提供有用的功能,但[不做保证],也不保证[适用于特定用途]
该软件受限于GNU通用公共许可协议



该软件通过OSI开源软件认证。
OSI Certified是开源动力的认证标志。

ZEN CART中文版安全建店的方法

下面是强化Zen Cart网店安全的几个步骤:

1. 删除/zc_install安装目录

安装完成后,从服务器商删除/zc_install安装目录。
不要只是改名目录,万一别人知道了目录名,就不安全。

2. 改名"/admin"目录

修改"admin"目录名,用一个很难猜测到的名字。

(在进行下面的修改前,请备份文件和数据库。)

A- 用文本编辑器,例如记事本,打开文件admin/includes/configure.php
将所有出现/admin/的地方改成自己的管理目录名。

需要修改的部分:

define('DIR_WS_ADMIN', '/admin/');
define('DIR_WS_CATALOG', '/');
define('DIR_WS_HTTPS_ADMIN', '/admin/');
define('DIR_WS_HTTPS_CATALOG', '/');

需要修改的部分:

define('DIR_FS_ADMIN', '/home/mystore.com/www/public/admin/');
define('DIR_FS_CATALOG', '/home/mystore.com/www/public/');

B- 找到Zen Cart的/admin/目录,
将该目录名按照admin/includes/configure.php中的定义作相应修改。

C - 使用.htaccess文件来保护Admin目录,类似下面提到的,保存在/admin/includes目录下 (Zen Cart v1.2.7以上版本中已有该文件)

3. 设置configure.php文件为只读

将两个configure.php文件用CHMOD(设置权限)命令改为只读很重要。
通常就是设置为"644",有时是"444"。

配置文件configure.php位于:
/<您的商店目录>/includes/configure.php
/<您的商店目录>/admin/includes/configure.php

有时通过FTP设置文件为只读不起作用。尽管看起来已经设置为只读了,实际上没有。通过查看商店首页的顶部是否有警告信息来确定设置是否生效。如果还是显示警告信息,请通过主机商提供的"文件管理"功能来修改。

如果您用的是Windows服务器,只要将文件设置为"所有人" "只读",如果在IIS下,是IUSR_xxxxx用户,或者"System"帐号,在Apache下,是"apache user"帐号。

4. 删除不用的管理员帐号

管理页面->工具->管理设置
在管理页面下,打开工具菜单,选择管理设置
- 检查所有没有使用的管理员帐号并删除。特别注意是否有"Demo"帐号。

5. 强化管理员密码

一定要使用一定强度、不易猜测的密码。

要修改管理员密码,进入管理页面->工具->管理设置,点击"重置密码"按钮,或点击那个回收箱的图标。

建议使用至少8位密码。
密码最好包含字母、数字、符合、以及大小写等。

6. 保护"自定义页面" "html_includes"中的内容

定义好您的自定义页面后,(管理页面->工具->页面编辑), 您要保护这些文件:

A. 用FTP软件下载备份,这些文件位于/includes/languages/english/html_includes目录。

B. 修改文件 CHMOD 644 或 444 (或 Windows下为“只读”)。见上面的CHMOD说明
/includes/languages/schinese/html_includes – 下面的所有文件/目录
提示: 设置为只读后,如果需要修改自定义页面,还需要重设为可读写。

7. 使用.htaccess文件来强化安全

在服务器目录里,.htaccess文件可用于防止用户浏览目录,还可以防止直接访问"任何".PHP脚本,因为某些目录中的所有PHP文件是通过其它PHP文件访问,而不是直接通过浏览器。这有利于安全。

某些目录下还有一些半-"空白"的index.html文件,这些文件用于保护目录,万一FTP软件不能上传.htaccess文件,或您的服务器不接受,可以防止目录浏览,但不会停止执行.PHP文件。
这也是"可行的"方法,尽管在所有目录下使用.htaccess文件更好。

目录中存在index.html 文件,但还没有.htaccess文件时,建议添加的.htaccess文件如下(取决于服务器的设置):

#.htaccess to prevent unauthorized directory browsing or access to .php files
   IndexIgnore */*
   
    Order Deny,Allow
    Deny from all
   

如果您的主机不允许您建立/使用自己的.htaccess文件,有时您可以通过管理面板来设置.htaccess文件。

您需要选择 -- 并使用 -- 适合您的服务器的方法。最好咨询您的主机提供商。

关闭"允许访客推荐给朋友"功能

管理页面->电子邮件选项->允许访客推荐给朋友选项设置为'false'。防止用户利用你的服务器发送不必要的电子邮件。

版权所有 2007 Zen Cart 中文版