评论 (0) zencart的cache和images两个目录由于需要保存sessions和图像, 设置了777的完全权限.
但默认的zencart在两个目录都没有设置.htaccess的安全执行机制. 有可能(已经出现有了)被上传黑客程序.
必须在cache和images两个目录里的.htaccess文件里增加以下代码, 防止php程序在这两个目录里执行.
<Files *.php>
Order Deny,Allow
Deny from all
</Files>最近很多Zen Cart的网店遭遇黑客攻击,以下是Zen Cart官方列出的一些安全建议.
A- 打开文件 admin/includes/configure.php.
将所有出现 /admin/ 的地方改成自己定义的名字
需要修改的部分:
define(’DIR_WS_ADMIN’, ‘/admin/’);
define(’DIR_WS_CATALOG’, ‘/’);
define(’DIR_WS_HTTPS_ADMIN’, ‘/admin/’);
define(’DIR_WS_HTTPS_CATALOG’, ‘/’);
define(’DIR_FS_ADMIN’, ‘/home/mystore.com/www/public/admin/’);
define(’DIR_FS_CATALOG’, ‘/home/mystore.com/www/public/’);
B- 将Zen Cart的目录/admin/按照 admin/includes/configure.php 中的定义作相应修改。
C-安装Zen Cart安全补丁,地址:http://www.zen-cart.com/forum/showthread.php?t=130161
configues.php位于
/<YourStoresFolder>/includes/configure.php
/<YourStoresFolder>/admin/includes/configure.php
注意:通过ftp修改权限为只读无效,必须通过你的hosting服务商的cpanel修改
管理员账号应该非常复杂,比如带数字,大小写,特殊字符,长度超过8位,具体在Admin->Tools->Admin Settings里面设置新的密码
将以下文件置为只读, 当然前提是你已经设计好你的网站,无须修改这些文件,如果需要修改,改为可写,然后再置为只读
/includes/languages/english/html_includes – and all files/folders underneath
默认的.htaccess文件里面应该有如下设置
IndexIgnore */*
<Files *.php>
Order Deny,Allow
Deny from all
</Files>
下面是强化Zen Cart网店安全的几个步骤:
1. 删除以下几个目录和文件
安装完成后,请从服务器上删除以下目录和文件:
- /docs
- /extras (重要)
- /zc_install
- /install.txt (这是文件)
另外,如果你的网店不是卖可下载类的产品,请同时删除以下文件和目录:
- /download
- /media
- /pub
不要只是改名目录,万一别人知道了目录名,就不安全。
如果删除了 download 目录,商店设置-属性设置-允许下载,设置为:false
2. 设置configure.php文件为只读
将两个configure.php文件用CHMOD(设置权限)命令改为只读很重要。
通常就是设置为”644″,有时是”444″。
如果无法通过FTP程序修改,可以用主机商提供的文件管理工具来修改。
如果您用的是Windows服务器,只要将文件设置为”所有人” “只读”,如果是在IIS下,是IUSR_xxxxx 用户,或者”System”帐号,在Apache下,是”apache user”帐号。
3. 改名”/admin”目录
修改”admin”目录名,用一个很难猜测到的名字。
(在进行下面的修改前,请备份文件和数据库。)
A- 用文本编辑器,例如记事本,打开文件admin/includes/configure.php。
将所有出现/admin/的地方改成自己的管理目录名。
需要修改的部分:
define(‘DIR_WS_ADMIN’, ‘/admin/’);
define(‘DIR_WS_CATALOG’, ‘/’);
define(‘DIR_WS_HTTPS_ADMIN’, ‘/admin/’);
define(‘DIR_WS_HTTPS_CATALOG’, ‘/’);
需要修改的部分:
define(‘DIR_FS_ADMIN’, ‘/home/mystore.com/www/public/admin/’);
define(‘DIR_FS_CATALOG’, ‘/home/mystore.com/www/public/’);
B- 找到Zen Cart的/admin/目录,
将该目录名按照admin/includes/configure.php中的定义作相应修改。
4. 删除不用的管理员帐号
管理页面->工具->管理设置
在管理页面下,打开工具菜单,选择管理设置
- 检查所有没有使用的管理员帐号并删除。特别注意是否有”Demo”帐号。
5. 强化管理员密码
一定要使用一定强度、不易猜测的密码。
要修改管理员密码,进入管理页面->工具->管理设置,点击”重置密码”按钮,或点击那个想回收箱的图标。
建议使用至少8位密码。
密码最好包含字母、数字、符合、以及大小写等。
6. 保护”自定义页面” “html_includes”中的内容
定义好您的自定义页面后,(管理页面->工具->页面编辑), 您要保护这些文件:
A. 用FTP软件下载备份,这些文件位于
/includes/languages/schinese/html_includes目录。
B. 修改文件 CHMOD 644 或 444 (或 Windows下为“只读”)。见上面的CHMOD说明
/includes/languages/schinese/html_includes
Panorama Theme by 
Themocracy
