对使用 Z |
您所在的位置:网站首页 › zblog登录地址怎么修改 › 对使用 Z |
对使用 Z
|
您也可以在我的个人网站中查看此文:http://zhaokaifeng.com/?p=1598 谢谢您的访问 : ) 前言Z-BlogPHP 是一款常用的 Web 博客程序, 许多网站都是使用 Z-BlogPHP 搭建的. 今天, 我来结合自己目前所掌握的知识谈谈对使用 Z-BlogPHP 搭建的网站进行安全加固的方法. 希望本文能让更多的网站尽可能地远离安全威胁. 网站加固涉及很多方面, 有 Web 程序的加固, 中间件的加固, 代码运行环境的加固, 还有 Web 服务器的加固等, 本文只讨论对 Web 程序, 也就是 Z-BlogPHP 本身的加固. 操作环境Z-BlogPHP 版本: Z-BlogPHP 1.5.2 Zero 正式版 加固步骤 保护登录入口 使用 Google 两步验证两步验证相当于给登录过程加了两把锁, 即使我们网站的登录密码被恶意获取和利用, 攻击者也无法仅仅依靠该密码就成功登录网站后台. 两步验证的实现方式中常用的大致有两种: 手机短信验证码虚拟 MFA使用"手机短信验证码"的方式进行验证就是在登录的时候除了要输入用户名和密码之外还会要求输入一个由服务器发来的手机短信. 虚拟 MFA 的作用和手机短信验证码类似, 只不过虚拟 MFA 可以基于时间 (或者计数器) 生成验证码 (每 30 秒自动生成一个 6 位数字), 不需要联网即可运作. 目前可以提供虚拟 MFA 验证的软件有: Authy 官网: https://authy.com/ Authy 提供的验证程序几乎覆盖了目前所有主流操作系统, 其支持的平台有 iOS, Android, Windows, macOS 以及 Chrome 浏览器. 1Password 官网: https://1password.com/ 1Password 是一个密码管理器, 也支持两步验证. Microsoft Authenticator 官网: https://www.microsoft.com/en-us/account/authenticator 微软出品的两步验证程序. Google 2-Step Verification 官网: https://www.google.com/landing/2step Google 出品的两步身份验证器. 想要在 Z-BlogPHP 中使用两步验证, 首先需要在 Z-BlogPHP 的应用中心搜索"Google两步验证"找到相关插件, 插件 ID 是"LiangbuLogin". 下载完成之后, 启用该插件. 下面我在手机上使用 Google 两步验证程序"Google 身份验证器"和 Z-BlogPHP 中的"Google两步验证"插件演示配置并启用两步验证的过程. 首先, 在 Z-BlogPHP 的管理后台中进入"Google两步验证"插件的配置界面并打开手机上的"Google 身份验证器", 之后的操作过程如图 1 所示:
之后, 再登陆 Z-BlogPHP 的后台时会要求输入 Google 两步验证的验证码, 如图 2 所示.
如果进行两步验证的设备丢失, 可以在服务上删除如下目录及文件即可取消 Google 两步验证: XX/zb_users/plugin/LiangbuLogin另外, 需要注意的是, 如果设备支持的话, 请务必给进行两步验证的程序加上应用锁以尽可能避免未经授权的使用. 修改默认登录地址Z-BlogPHP 默认的登录地址如下: https://域名/zb_system/login.php如果使用默认的登录地址的话, 就是把网站登录入口直接暴露在攻击者面前, 这是一个严重的不安全因素. 下面演示修改默认登录地址的方法. 首先将 zb_system/ 目录下的 login.php 文件修改成一个随机名称, 例如: ajdvirb6zmg9s7k2.php, 之后, 登录地址就变成了: https://域名/zb_system/ajdvirb6zmg9s7k2.php下一步, 在当前网站所使用的主题 (一般位于 xx/zb_users/theme/ 目录下) 下面找到 include.php 这个文件, 在其中加入如下 PHP 代码: #修改默认登录地址 function zpnfewmcbxgsak(){ global $zbp; $sfwidmsahdgv="ssocnf7sbsnxs"; $dsdsuacskpqba="sdvn2ps3m2n"; if($_GET[''.$sfwidmsahdgv.''] !== ''.$dsdsuacskpqba.'') { Redirect($zbp->host); die(); } }之后, 同样在 include.php 这个文件中, 找到 function ActivePlugin_主题 ID(){} 函数, 在其中加入如下 PHP 代码: Add_Filter_Plugin('Filter_Plugin_Login_Header','zpnfewmcbxgsak');经过上述操作之后, 登录地址就变成了: https://域名/zb_system/ajdvirb6zmg9s7k2.php?ssocnf7sbsnxs=sdvn2ps3m2n上面地址中的任意一个字符不对都将无法打开登录页面. 如果忘记了登录地址, 只需要进入服务器, 找到上面所作的更改并组合成登录地址即可. 需要注意的一点是, Z-BlogPHP 默认会把后台登录地址显示在网站前台, 这个组件一定要去掉. 修改登录页面默认标题和内容通常情况下, 登录页面都会有一些和登录相关的关键词, 例如"登录", “用户登录”, “login”, “网站后台”, "用户名"和"密码"等. 如果登录界面被搜索引擎爬取到了, 那么攻击者通过类似"Google hack"这样的方式就有可能获取网站登录后台的地址. 因此, 有必要把登录页面的一些关键词修改成和"登录"以及"网站后台"无关的内容. 修改方法如下: 打开 zb_system/ 目录下的 login.php 文件(如果您按照上面的过程进行了修改, 那么此时, 这个文件的名称应该是 ajdvirb6zmg9s7k2.php, 具体名称以您的修改操作为准.), 进行如下修改: 修改用户名输入框的提示字符, 将: 修改成: 修改页面标题, 将: 修改成: 修改登录界面的图片标题和图片说明, 将: 修改成: 修改登录按钮, 将: |
图 1
图 2【本文地址】
今日新闻 |
推荐新闻 |