学习NO.1 发表于 2015-12-9 01:11:51

DISCUZ X3 论坛管理员之外的账号不允许进入后台登陆界面的方法

开源程序既然是开源的,安全性可能稍微偏低。一个好网站需要一个稳定的php空间来进行支持。最近小编遇到了站长朋友使用的是Discuz x3开源程序做的论坛,可是总有站长找到小编反映论坛被黑了,或者从日志中看到是暴力破解后台等等。针对这一系列的问题道勤小编只能说你的论坛的确存在一定的漏洞风险。小编最近论坛也是被黑了,小编通过留下的方式和黑站点的人套套近乎,居然知道了攻击的原理并且学会了如何黑一个论坛,总之苍蝇不盯无缝的蛋,安全性一定要做足了。站长们都知道Discuz这款开源程序的论坛的后台的路径就是xxxx.com/admin.php.不像其它开源程序有的可以改变下后台的路径,可是这款程序就是这样。都是默认的,这样有经验很多会员或者游客也都知道了论坛的后台的地址。如果有点技术的很容易也就渗透进了后台。本来网站后台被别人进入就是存在了极大的风险相当于开了一道口子,如果渗透进来还不等于长驱直入呀。小编花了些时间总算找到了些弥补的方法,就是当不是管理员账号进入不了后台,就是访问的后台的路径也是一样返回到论坛的首页。那么该如何实现呢?小编下面来详细描述下吧。
首先链接FTP软件,找到根目录下的admin.php这个就是登陆后台的文件页。使用一款编辑器打开这个页面如下。
找到25行代码:$discuz->init();
在这行代码下添加一行判断语句代码:
if(!$_G[‘uid’] || !getstatus($_G[‘member’][‘allowadmincp’], 1)) {
header(‘Location: /’);
}
管理员的账号在数据库中的UID都是1,如果UID不等于1就会返回到根目录然后指向首页。这段代码就是起到了这样的作用。
修改后上传覆盖就可。这样就是输入网站的后台的路径例如是xxxx.com/admin.php也是直接放回到xxxx.com了。那么管理员该如何再登陆后台呢。首先在论坛的前台登陆账号,然后找到管理中心。如下图:


这样就可以登陆网站的后台了。安全性是不是提高了很多呢。以上步骤就是禁止除管理员之外的账号登陆网站后台登陆页面的方法了。是不是非常简单

页: [1]
查看完整版本: DISCUZ X3 论坛管理员之外的账号不允许进入后台登陆界面的方法