Discuz:后台防沦陷说明
来自站长百科
导航: 上一级 | Discuz | 首页 | PhpWind | 动网论坛 | vBulletin | phpBB | MolyX | Discuz!NT
起因
世界上没有不透风的墙,没有哪个系统敢说自己绝对的安全。可能某些时候出于安全方面的原因,如管理员密码泄漏,或者被木马盗取等,会导致管理员帐号密码被黑客窃取,黑客可以通过后台放置非常隐蔽的木马,更进一步,可以利用系统漏洞提升权限,这是十分危险的事情。
解决
Discuz! 出于安全性考虑,提出了后台防沦陷概念,使管理员在帐号丢失的情况下,将损失降到最小,进了后台也做放不了马,给进一步提升权限带来障碍。在新的版本中,我们对管理员提交的数据亦做了同前台严格程度相当的检查,保证数据进入数据库时的合法性。在您需要使用后台比较敏感的操作时,比如数据恢复,模板编辑等操作时,可以编辑 config.inc.php 文件。
$admincp = array(); $admincp['forcesecques'] = 0; // 管理人员必须设置安全提问才能进入系统设置, 0=否, 1=是[安全] $admincp['checkip'] = 1; // 后台管理操作是否验证管理员的 IP, 1=是[安全], 0=否。仅在管理员无法登陆后台时设置 0。 $admincp['tpledit'] = 0; // 是否允许在线编辑论坛模板 1=是 0=否[安全] $admincp['runquery'] = 0; // 是否允许后台运行 SQL 语句 1=是 0=否[安全] $admincp['dbimport'] = 0; // 是否允许后台恢复论坛数据 1=是 0=否[安全]
一般情况下,我们推荐您采用以上的设置。如果十分有必要,我们建议您操作完毕后再修改回来。