typecho 程序防黑客安全加固教程

　　我之前的网站网址被 dubo 网站黑了，没有及时发现，导致搜索引擎降权，相当恶心。建议大家都做好 typecho 防黑客安全加固工作。下面我就记录下 typecho 防黑客安全加固具体操作过程。

修改文件目录

　　修改 typecho 源程序文件目录，主要有以下三步：

1. 删除安装文件 ———— 成功安装后删除 install.php 文件及 install 文件夹；
2. 修改admin文件夹名称 ———— 修改admin文件夹名称为你喜欢的名称，例如bilibil，防止黑客穷举密码；
3. 修改配置文件 config.inc.php ———— 以适配修改后的admin路径，修改成以下代码；

/** 后台路径(相对路径) */ 
define('__TYPECHO_ADMIN_DIR__', '/bilibil/');

　　好了，现在你可以访问你的域名 + /bilibil/ 访问你的新的后台地址，原来的你的域名 + /admin/ 已经不能访问了。还有记得修改模板文件中涉及后台地址的链接。

修改文件权限

　　屏蔽 usr、var 目录下 php 文件的访问，屏蔽 usr、var 目录下 php 文件的访问可以阻止黑客访问到他上传的 php 木马。

　　我们利用 Rewrite 伪静态机制来做。我这里以 Apache 服务器为例，大部分虚拟主机都是 Apache 。 LiteSpeed Web Server 也使用的是 Apache 的规则。 我们同时屏蔽 config.inc.php 和 .htaccess 的访问。

　　屏蔽原理就是把要屏蔽的请求重定向到首页文件，首页文件会当成文章名来解析，没有同名文章就会返回404未找到。所以就算黑客上传了木马也只会得到 404 未找到的响应。 文件名：.htaccess

RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d 

RewriteRule ^(.*)$ index.php [E=PATH_INFO:$1] RewriteRule (var|usr)(.+ph*)$ index.php [E=PATH_INFO:$1] 

RewriteRule (config.inc.php|.htaccess)$ index.php [L,E=PATH_INFO:$1]

　　做了以上防范事项，黑客要想黑我们的网址的难度就会大大增加，知难而退了。哈哈

最新漏洞

Typecho 1.2评论存在XSS漏洞，攻击者可以在评论中注入恶意脚本来攻击网站用户。该漏洞可能会导致用户的人信息泄露、账户被盗等安全问题。发现日期：2023年3月25日，解决方案参考下面文章链接：

Typecho 1.2 评论XSS漏洞修复方法记录

勤备份

博主平时一定要养成备份的习惯，这样即使被黑客侵入导致丢失数据，也能恢复，避免造成不可挽回的局面。