三步“安全地”更改 Typecho 的默认后台地址

2017-6-23 16:01 P.S.原来的方法有安全漏洞,已更新在文中。

安全,一切为了安全。

Typecho 的默认后台地址就是在域名后面加“/admin/”,实在是不敢恭敬。当然进了登录页面也不一定能暴进后台,但是为了提高安全性,什么都是值得的。

嗯,首先声明,此文技术来源于我N久前看的一篇文章(可能是 Typecho 官方的),并非我原创或首先发现。

首先,利用 FTP 或其他工具进入网站目录,改掉 admin 这个文件夹的名称。

最后,修改文件 config.inc.php。你可能忽然就能看到有行“后台路径(相对路径)”的注释,没错!将下一行(即第二十行)的“__TYPECHO_ADMIN_DIR__”常量的值改掉就行了!依葫芦画瓢咯,实在不会的话,这里有个参考。假设我要将后台地址改成“域名/houtai/”,那就要将这些代码:

define('TYPECHO_ADMIN_DIR', '/admin/');

用这行代码换掉:

define('TYPECHO_ADMIN_DIR', '/houtai/');

此方法适用于 Typecho 当前最新版 0.8,本人亲测成功。

此文原发于 2012-11-14 13:11,原题为《两步更改 Typecho 的默认后台地址》,介绍的方法在 Typecho 1.0 仍然可以使用。然而,不管是在 0.8 还是在 1.0,都遗漏有安全问题。具体来说,仍然可以通过 /index.php/action/login 进入登录页面,暴露后台地址。

因此,要想办法禁用 /index.php/action/login/action/login 的访问。比如借助 .htaccess 文件,或者 Nginx 的配置等等。但是注意,禁用后可能自己都访问不了,所以得有 IP 白名单或者别的什么东西。

或者也可修改 Typecho 的源码。/var/Widget/Do.php/var/Widget/Options.php,查找 'login'(全小写,含引号),把 login 改为一个相对复杂的值。为了杜绝模板中有相关链接,也需要检查模板甚至插件,有没有添加后台登录链接,有的话就删掉。这个方法来自于 bstaint的博客,感谢灰狼。

做完这一步,才算是达到了修改后台地址的目的。

2017-6-24 9:27 P.S.修正文章的讹误。

全部为采集文章,文中的 联系方式 均不是 本人 的!

发表评论