phpstudy是提供給php開發者,學習者的一種開發套件,其包含了常見的php網站開發利器php+mysql+apache/nginx/iis ,支持windows,linux等多個平臺。可以輕易的切換php版本,服務器,快速打開網站根目錄,修改配置等。
其方便快捷的功能,受到了廣大開發者的青睞,在國內有著近百萬PHP語言學習者、開發者用戶。
正是這樣一款公益性軟件,由于用戶比較多,難免會因為用戶的安全設置問題,導致一些風險,那怎么才能盡可能的提高使用phpstudy的安全性,避免網站被黑呢?
以下是phpstudy安全問題以及解決方案匯總:
一:phpStudy安全設置問題
立即學習“PHP免費學習筆記(深入)”;
1. 確保在官網下載phpstudy軟件
官網發布的程序,都是經過安全檢測的,無任何后門木馬,若是從第三方網站下載,可能存在不法分子篡改文件,提交給第三方網站,而第三方網站不經過檢測,直接上傳發布,造成安全風險。
phpstudy軟件官方下載地址:https://www.xp.cn/
2. 下載后做MD5檢測
為防止phpStudy軟件被篡改,phpStudy官方提供了各版本phpstudy集成環境軟件MD5碼,大家下載使用時請注意對比鑒別。
phpstudy各版本軟件MD5:https://www.xp.cn/
3. phpstudy安裝后刪除探針 l.php
l.php,phpstudy探針,會顯示服務器參數,php,mysql相關參數,用戶檢測,不法者可以通過搜索引擎,以title關鍵字phpstudy 探針輕松找到暴露在外網可能有問題的網站。
4. 及時刪除phpinfo.php文件
php的phpinfo.php函數,顯示PHP的配置相關,不法者通過phpinfo或者探針頁面,獲取到網站的絕對路徑。再加上mysql用戶和密碼用的是默認配置root/root,那么我們就可以利用phpMyAdmin 通過修改general logfile的路徑直接導出webshell至網站,從而獲取到網站的shell,造成了服務器淪陷的極大可能性。
5. 及時修改MySQL密碼為強密碼
phpStudy 集成環境,在安裝結束后,mysql用戶名、密碼均默認為root,應該修改為強密碼(數字字母符號,并混合大小寫,至少8位)
6.網站不要部署在默認的WWW文件夾里面
網站不要放在www,wwwroot,root,wwweb,website這樣的文件夾
7. 設置文件訪問權限
設置禁止創建文件,目錄禁止寫入文件,設置禁止下載exe,zip,7z,txt,sql,對網站文件進行掃描木馬,刪除病毒文件。
8. 定時進行網站程序和數據庫備份
可定時對網站程序和數據庫備份,確保中馬后能夠及時恢復
9.?phpstudy安全自檢修復程序
phsptudy 安全自檢修復程序,用于phpstudy2016/2018版本的文件安全檢測與修復,已安裝phpstudy的用戶,請自行下載檢測!
工具下載地址:https://www.xp.cn/
二:服務器安全設置(Windows)
及時修改administrator的密碼
禁止ping命令
修改服務器默認的3389端口
關閉21端口
開啟防火墻
及時更新系統補丁
安裝必要的網絡安全軟件
做好云備份
最后:
其實phpstudy本身沒有什么問題,在于使用者怎么配置,當然,除了以上的兩大塊需要注意的地方,網站本身的程序安全也很重要,比如織夢cms,WordPress等開源程序,本身漏洞也很多,很容易被入侵,請做好相應的安全修復,減低被入侵的風險。
