自定义 Typecho 后台路径

今晚没事,登录了一下主机的客户中心,看了一下资源报表,发现2月16日这天的资源消耗特别高(是平时的十多倍),看了一下详情,被吓到了!
2月16日主机资源消耗报表
MySQL查询时间非一般的高,就算你一直刷新我的页面也不至于这样吧?因此初步推测是遭入侵。
其实早就想过要把后台的路径改掉了,但是当时因为后台没有这个功能,就懒得手动去改了,结果没想到真的遭到了黑手。
找了一下资料,发现 Typecho 自定义后台路径的操作挺简单的,只有两步:
①用FTP登录到主机,改掉 admin 这个文件夹的名字
②打开根目录下的 config.inc.php 文件,找到

/** 后台路径(相对路径) */
define('__TYPECHO_ADMIN_DIR__', '/admin/');


/admin/ 改成你之前重命名的名字就行了。

=======================2014.04.25补充=================================
另外,如果你用的是官方默认主题的话,你还需要再做下面的一点点小操作:
首先,把后台目录里 /css/ 目录中的 normalize.cssgrid.css 以及 /js/ 目录中的 html5shiv.jsrespond.js 拷贝(我没有研究这些文件在其他地方要不要调用,所以就用复制的方式而不是移动)到官方模板目录中去,具体放该模板目录中的哪个文件夹按照自己的喜好决定。
然后打开 header.php ,定位到以下代码:

    <link rel="stylesheet" href="<?php $this->options->adminUrl('css/normalize.css'); ?>">
    <link rel="stylesheet" href="<?php $this->options->adminUrl('css/grid.css'); ?>">
    <link rel="stylesheet" href="<?php $this->options->themeUrl('style.css'); ?>">

以及:

    <script src="<?php $this->options->adminUrl('js/html5shiv.js'); ?>"></script>
    <script src="<?php $this->options->adminUrl('js/respond.js'); ?>"></script>

adminUrl 改成 themeUrl ,然后把那四个文件的路径也改一下,完成。

虽然说你能找到后台页面也不一定能撸进去,但是安全问题不可忽视!


改了之后我顺便在模板那里把首页显示“登录”的链接去掉了。
这次遭入侵我不确定 Ta 有没有撸进来,但是却给我提了个醒,这多消耗的这么多贝壳就当是买的一个教训吧。

P.S.学习安(fei)全(fa)检(ru)测(qin)的时候真的不要随便拿别人的站下手,自己在本地搭一个测试。做一个有良心的黑客。

参考资料:Typecho官方文档

标签:none

添加新评论