如何讓 Discuz! X 的后臺更安全

monkeye

如何把 X 的后臺保護(hù)起來？這是一個歷史問題，有人說把 admin.php 刪掉，有人說把 admin.php 改名，還有人說通過 nginx 配置限制下 ip


嗯，這些方法都可以，都很好，也是一直以來大家都常用的方法，但是在 X5 里，我們本著將開放進(jìn)行到底的原則，講講新方法

首先，以下方法在 admin.php 文件不存在的時候才有效，改名就沒必要的，直接刪了吧，因?yàn)閷τ?X5 來說 admin.php 實(shí)際上只是一個跳轉(zhuǎn)鏈接而已

在 config/config_global.php 文件結(jié)尾加上以下內(nèi)容：

1. $_config['admincp']['validate']['method'] = 'default';
   
2. $_config['admincp']['validate']['user'] = 'abc';
   
3. $_config['admincp']['validate']['pass'] = '123';

復(fù)制代碼

然后你用此鏈接登錄后臺 /?app=admin，你會發(fā)現(xiàn)登錄后額外彈出了“Authenticate”方式的二次校驗(yàn)！

神奇不！？咳咳，這只是開胃小菜，我們說正經(jīng)的

我們把 method 改成任何一個值

1. $_config['admincp']['validate']['method'] = 'sample';

復(fù)制代碼

（child 是曾經(jīng)說過的內(nèi)容，看這里 http://www.sdtechgong.com.cn/thread-23848-1-1.html）
代碼如下，只是一個簡單的 input 表單和固定的密碼 12345

登錄/注冊后可看大圖

然后我們測試下效果，首先正常登錄：

登錄/注冊后可看大圖

正常登錄后額外彈出了這個 input，我們輸入 12345 后才能正常登錄

登錄/注冊后可看大圖

是的，我們可以用插件的方式給我們的管理后臺做二次校驗(yàn)功能了，你還想到了什么更安全的方式？要不要寫起來？

維清

沙發(fā)已占位。

凹凸曼

科站網(wǎng)

今天忙，沒搶到