<form id="b9x9f"></form>

<address id="b9x9f"></address>
<em id="b9x9f"><nobr id="b9x9f"></nobr></em>

<address id="b9x9f"><nobr id="b9x9f"><nobr id="b9x9f"></nobr></nobr></address><form id="b9x9f"></form>

<address id="b9x9f"></address>

友點CMS

友點旗下產品

首頁

產品

友點建站系統產品介紹更新日志許可協議
友點B2C商城產品介紹更新日志許可協議運營手冊

方案

模板

插件

組件庫

下載

購買

友點建站系統商業授權模板購買 H5落地頁服務套餐增值服務
友點B2C商城商業授權

幫助

幫助教程動態公告入門使用常見問答
在線手冊商城運營手冊建站使用手冊建站標簽手冊多端小程序手冊模板裝修手冊

合作

關于

YoudianCMS v9.5.0 發布啦！極大提升了安全性能！

來源： 友點CMS 日期：2021-12-10 11:33:10 點擊：16011 屬于：動態公告

YoudianCMS v9.5.0 重點在安全性方面做了極大的提升、為安全而生，不用再擔心網站被黑了
1、實現微信掃碼登錄后臺，更安全，再也不用記密碼
掃碼登錄的好處：
1）不需要記住密碼登錄，更方便，特別是管理多個網站時超實用。
2）更安全：不用擔心密碼泄露、或密碼被黑客截獲。
操作方法：
依次點擊【設置】-【安全設置】找到綁定微信掃碼登錄后臺，然后點擊【立即綁定】按鈕，彈出二維碼，用微信掃碼即可綁定

綁定后，會顯示當前綁定的微信賬戶

綁定成功以后，退出后臺，返回到登錄頁面，即可看到掃碼登錄，點擊右上角圖片可以在賬號密碼登錄和掃碼登錄之前進行切換

打開微信，掃一掃即可登錄后臺，是不是很方便！

2、編輯網站資料，可以設置二次安全驗證
應用場景：
在某些特殊的情況下，如：系統密碼泄露或被注入黑客腳本，被攻擊者非法登錄后臺，這種情況下，如果設置了二次安全驗證問題，攻擊者也無法篡改網站資料。因此，強烈建議設置二次安全驗證問題，系統將更加安全可靠，可有效防止黑客攻擊
操作方法：
依次點擊【設置】-【安全設置】找到二次安全驗證

設置完成以后，凡是編輯操作，保存之前，第1次都會需要回答問題進行驗證，后續的每次編輯操作，不需要再次回答問題：

3、增加安全設置，將和安全相關的設置放到一起，便于操作
系統安全設置主要包含以下的幾個方面：
1）后臺登錄名稱
此功能之前的版本就存在，但是如果直接輸入后臺登錄地址全路徑，還是可以容易找到登錄入口。本次更新徹底解決了這個問題，如果設置為admin123，那么后臺地址就是：http://您的網址/admin123，如果不知道后臺地址就無法登錄

2）后臺訪問IP白名單
如果設置了后臺訪問白名單，那么只有指定的IP才能訪問后臺，對于有固定IP的企業非常有用，可以杜絕黑客登錄后臺，極大地提高系統安全性。
如果你沒有固定IP，可以使用代理服務器作為固定IP，來訪問后臺。在瀏覽器里設置代理服務器的地址，然后通過瀏覽器訪問即可

3）目錄權限檢測和設置建議
設置步驟：
第一步：網站安裝完成后，先將整個網站根目錄設置為只讀；
第二步：然后將/Data和/Upload目錄設置為可讀寫并關閉腳本可執行權限。
這里特別說明：關閉腳本可執行權限，不是關閉目錄的執行權限（與Linux操作系統有關）、而是關閉目錄的腳本執行權限（需要修改web服務器的配置）
目錄權限設置教程點擊查看>>

設置完成以后，在安全設置頁面里，可以看到沒有權限是否設置正確，請參見表格的【權限是否正確】列。
請大家務必按指定要求設置權限，這樣，就可以徹底防止黑客掛馬。請正確設置權限、正確設置權限、正確設置權限，重要的事情說三遍

4）二次安全驗證問題
詳見上面的介紹

5）微信掃碼登錄
詳見上面的介紹

4、密碼的加密算法增強
目前網站密碼的存儲主要有以下幾種方式
1）明文存儲
2011年，國內某程序員大型社區CS**網站的安全系統遭到黑客攻擊，600萬用戶的登錄名、密碼泄漏。令人不可思議的是，密碼竟然采用明文存儲。
這種方式現在已經很少使用了，及其不安全，一旦泄露，危害重大。
2）md5等單向加密后存儲
現在多數網站就是使用md5或sha等單向加密算法，但是這種算法不是特別安全，尤其是你的密碼位數少強度低，黑客很容易使用彩虹表進行碰撞暴力破解，在v9.5.0版本前，我們就是使用這種加密算法
3）md5+隨機鹽單向加密后存儲
這種方式是對方式2）進行了增強，加密時對每個密碼使用隨機鹽，讓黑客不能使用固定的彩虹表破解，要破解，就必須為每個密碼重新構建彩虹表來破解，極大地加大了破解的難度和時間，但是和方式2）沒有本質的區別
4）BCrypt加密算法
bcrypt算法采用了一系列各種不同的Blowfish加密算法，并引入了一個work factor，這個工作因子可以讓你決定這個算法的代價有多大。因為這些，這個算法不會因為計算機CPU處理速度變快了，而導致算法的時間會縮短了。
此算法的特點：慢，如果加密“cool”的話（work factor=12），bcrypt需要0.3秒，而MD5只需要1微秒（百萬分之一秒）。
也就是說，只需要40秒就窮舉破解的MD5算法，在使用bcrypt下，需要12年。
這種算法可以有效抵御彩虹表攻擊，即使密碼泄露，仍然可以得到有效的保護，黑客無法大批量破解用戶密碼，從而切斷撞庫掃號的根源
升級有的友點CMS就是使用bcrypt算法加密，不用再擔心黑客脫庫，暴力破解密碼了

5、刪除并優化后臺可能存在的安全隱患功能
主要屏蔽了以下幾個功能
1）去除在線編輯模板功能
在后臺，我們是可以直接對模板代碼進行編輯的，這樣雖然很方便，但是如果被非法登錄后臺，就很容利用此功能注入木馬和篡改網站關鍵詞
2）刪除在線安裝模板功能
模板安裝包是zip格式的，如果在zip壓縮包里放入病毒腳本，就會很容易地安裝到系統
3）一鍵備份會排除數據庫配置文件
數據庫配置文件由于包含了：連接數據庫賬號和密碼敏感信息、一鍵備份后，不會包含此文件，避免泄露此信息
4）強制記錄管理員所有操作日志，并且不能被刪除
當網站收到非法篡改時，可以通過分析日志就可以確定是誰做的操作，操作者位于哪里。此日志不能再后臺被刪除
5）隱藏一鍵備份壓縮包和數據庫備份sql文件真實地址，無法直接下載

6、安全隱患提醒
登錄后臺后，如果系統存在安全隱患或安全配置存在問題，系統會彈框提醒，有效幫助正確設置系統。如下圖所示：

對話框提示有2個安全隱患，點擊【查看安全設置】，去設置此2項即可

最后總結一下，不是每一個安全設置都必須使用，只有二次安全驗證問題和目錄權限這這2項才是必須的，請務必正確設置，如果未正確設置，每次登錄后臺都會彈框提醒。

上一文章：友點用戶中心一鍵安裝網站功能上線啦！

下一文章：更新 | 多城市分站，助力SEO優化引流

友點建站系統產品介紹更新日志許可協議
友點B2C商城產品介紹更新日志許可協議運營手冊
方案響應式建站 H5落地頁多端小程序微信小程序百度小程序抖音頭條小程序源碼商城軟件定制開發
關于公司簡介資質榮譽付款方式聯系我們

掃一掃關注公眾號

服務熱線 0731-84037726

合作伙伴：阿里云 | 西部數碼 | 百度
友情鏈接：純真CZ88 | 掌柜星服裝進銷存 | 長沙網站建設 | 手機網站建設 | 友點企業網站管理系統 | 手機網站模板 | CMS系統 | 企業建站

查看軟件著作權

技術支持：友點軟件長沙友點軟件科技有限公司版權所有湘ICP備12003878號-3 公安備案號：43012102000048

微信掃一掃關注我們

微信客服

QQ客服

QQ客服：1471393990

座機：0731-84037726

微信掃一掃關注我們

微信群

成在人线AV无码免费