欢迎您“为梦者”,WMCMS帮助中心首页

提高WMCMS安全性之模版目录和缓存目录

本程序自带了APACHE和IIS6的伪静态规则位于程序根目录,通过伪静态实现了禁止查看模版和缓存目录

APACHE:.htaccess

IIS6:httpd

NGINX:由于NGINX的特殊性,需要手动复制伪静态代码到配置文件,可通过后台系统设置-网站SEO-规则生成查看NGINX的伪静态规则,复制到配置文件即可

如果您使用的以上两种WEB环境,则获得初步的保护。


如果您想进一步提高安全性,强烈建议阅读全文进行如下配置

下面我们依次来讲解每个WEB环境的配置方法。

1.apache

首先根据您的WEB环境安装文档找到您网站的conf文件打开

<VirtualHost *:80>
    DocumentRoot "F:/phpstudy_pro/WWW/****"
    ServerName ************************
    ServerAlias ************************
    FcgidInitialEnv PHPRC ************************
    AddHandler fcgid-script .php
    FcgidWrapper ************************
  
  *********************省略代码**************************

您会看到如上的代码,然后添加屏蔽代码后如下

<VirtualHost *:80>
    DocumentRoot "F:/phpstudy_pro/WWW/****"
    ServerName ************************
    ServerAlias ************************
    FcgidInitialEnv PHPRC ************************
    AddHandler fcgid-script .php
    FcgidWrapper ************************
    
    ###### 下面是新增的代码  ####
  <Directory "F:/phpstudy_pro/WWW/wmcms.com/templates">
    <FilesMatch "\.(?i:html)$">
		Order Allow,Deny
		Deny from all
	</FilesMatch>
  </Directory>
  
  <Directory "F:/phpstudy_pro/WWW/wmcms.com/cache">
	Order Allow,Deny
	Deny from all
  </Directory>
  *********************省略代码**************************

说明:

第一块是禁止通过web访问templates目录下任何HTML文件。

第二块是禁止通过web访问cache文件夹下面的任何缓存日志文件。


2.nginx

同样根据您的WEB环境安装文档找到您网站的conf文件打开 ,您会看到如下代码

server {
        listen        80;
        server_name  wmcms.com www.wmcms.com;
        root   "F:/phpstudy_pro/WWW/";
        *********************省略代码**************************

然后添加屏蔽代码后如下

server {
        listen        80;
        server_name  wmcms.com www.wmcms.com;
        root   "F:/phpstudy_pro/WWW/";
        
        ###### 下面是新增的代码  ####
	    location ~ ^/(templates|plugin/.*/templates)/.*\.(html)$ {
		    return 404;
	    }
	
	    location ~ ^/(cache)/.*\.(.*)$ {
	      return 404;
	    }
	    *********************省略代码**************************

说明:

第一块是禁止通过web访问templates和plugin(插件的模版)目录下任何HTML文件。

第二块是禁止通过web访问cache文件夹下面的任何缓存日志文件。


3.IIS

3.1 通过IIS自带的控制面板添加


3.2 如果您懂IIS的config配置可以在根目录的 web.config里面直接配置规则即可