2024年8月6日帝国CMS官网发声再次升级8.0版本
2024年8月6日帝国CMS官网发声再次升级8.0版本,历时立式6年再次迎来重大更新,此次更新主要针对后台的安全保护做了升级,但是帝国cms王猛在2022年社交平台上回复:帝国升级会适配更高版本的php建站环境,此次升级并没有显示,相信这次更新之后帝国cms会越来越好用!接下来看下帝国cms做了哪方面的安全更新吧!
帝国CMS8.0 让安全再安全、让无忧再无忧:
帝国CMS8.0版后台地址十重保护功能说明
帝国CMS8.0版后台登录时十六重安全验证
帝国CMS8.0版后台登录后十八重安全验证
帝国CMS8.0版后台地址十重保护功能说明
一、8.0版后台目录由原来的 “/e/admin/” 修改为 “/eadmin/admin/”,改为单独的后台目录。
二、“/eadmin/admin/”目录中的第2层“admin”目录可以任意重命名,并且不需要任何设置,系统也没有任何地方有保存该目录名。
例如改为:“/eadmin/d2cmlzdy/”。
三、“/eadmin/admin/”目录中的第1层“eadmin”目录也可以重命名,但修改后需要修改配置文件,具体修改方法如下:
1、重命名“/eadmin/”目录名;
2、修改配置文件“/e/config/config.php”中的“$ecms_config['esafe']['hfadminpath']='eadmin';”变量内容;
3、修改完成。比如改为:“/d1cmlzdy/d2cmlzdy/”。
一、8.0版后台目录由原来的 “/e/admin/” 修改为 “/eadmin/admin/”,改为单独的后台目录。
二、“/eadmin/admin/”目录中的第2层“admin”目录可以任意重命名,并且不需要任何设置,系统也没有任何地方有保存该目录名。
例如改为:“/eadmin/d2cmlzdy/”。
三、“/eadmin/admin/”目录中的第1层“eadmin”目录也可以重命名,但修改后需要修改配置文件,具体修改方法如下:1、重命名“/eadmin/”目录名;
2、修改配置文件“/e/config/config.php”中的“$ecms_config['esafe']['hfadminpath']='eadmin';”变量内容;
3、修改完成。比如改为:“/d1cmlzdy/d2cmlzdy/”。
四、后台登录文件也可以自定义。只需按下面操作就可以修改后台登录文件地址:(7.5版本及以上支持)1、将 /eadmin/admin/index.php 文件重命名。
2、将 /eadmin/admin/ecmsadmin.php 文件重命名。
3、修改第1步重命名后的“/eadmin/admin/index.php”文件内容,将:
action="ecmsadmin.php"
修改为:
action="第2步重命名后的文件名"
(注意事项:UTF8文件不能用记事本修改文件,否则会将文件转为GBK编码,推荐用Dreamweaver修改。)
4、至此,后台登录文件地址修改完成,以后登录后台必须访问第1步重命名后的文件名才可以登录后台。
其它说明
1、修改文件地址后,建议admin目录下再建空白的index.php和ecmsadmin.php文件,可以达到迷惑作用(比如:防火墙等防御就是显示空白,容易混淆原因)。
2、修改文件地址后,也可以建假的index.php和ecmsadmin.php文件,让不管信息对不对都登录不上,此方法适合懂php代码的人实施,但一般建空白文件就够了。
五、8.0版新增了“后台登录地址验证参数”功能:设置后登录地址必须加该参数变量名和参数内容才可以登录后台,即使被知道后台目录名,没有参数一样登录不了。具体使用方法如下:
1、后台>系统>系统设置>安全参数配置:设置“后台登录地址验证参数变量名”和“后台登录地址验证参数”。比如设置为:参数变量名设置为“id”、参数为“empirecms,cs”;
2、设置后后台登录地址要用“/eadmin/admin/index.php?id=empirecms,cs”,不然登录不了。
六、设置浏览器信息验证,不是该浏览器信息无法访问后台页面:(7.5版本及以上支持)
帝国CMS7.5版后台新增浏览器USER-AGENT验证功能:只有包含指定信息的浏览器才可以访问后台(后台可指定同时包含多个验证内容,配置内容存配置文件,不存数据库),也就是说可以指定某一台机器才能访问后台,更高安全性。
官方建议登录后台采用单独的浏览器,并修改浏览器本身的USER-AGENT信息,加上验证内容(可同时指定多个验证内容),然后后台设置只有浏览器USER-AGENT包含这些验证内容才能访问后台。
(可以百度搜索“修改浏览器useragent”,给使用的浏览器加些验证内容,然后后台安全设置里设置这些内容为验证内容)
七、8.0版新增了“后台访问密码”功能:设置后需要输入“后台访问密码”才能访问后台动态页面。具体使用方法如下:
1、后台>系统>系统设置>安全参数配置:设置“后台访问密码验证变量名”和“后台访问密码”。
2、设置后,访问后台动态页面需要输入上面设置的密码,才能进入接下来的登录后台操作。
八、8.0版新增了“整站访问密码”功能:设置后需要输入“整站访问密码”才能访问前台和后台动态页面,该功能适合内部网站使用。具体使用方法如下:
1、后台>系统>系统设置>安全参数配置:设置“整站访问密码验证变量名”和“整站访问密码”。
2、设置后,访问前台和后台动态页面需要输入上面设置的密码,才能访问网站内容。
3、如果同时设置了“整站访问密码”和“后台访问密码”,那访问后台动态页面需先输入“整站访问密码”、接着还要输入“后台访问密码”,才能进入接下来的登录后台操作。
九、设置允许后台访问域名,不是用该域名无法访问后台页面(后台安全防火墙里设置)。(8.0版还新增了允许设置多个访问地址)
1、后台>系统>系统设置>网站防火墙:设置“允许访问后台的域名”(多个域名可以用“||”分隔)。
2、如果只是内网访问后台,可以设置为内网访问IP或指定的host地址。
十、设置允许访问后台的时间点与星期几。
1、后台>系统>系统设置>网站防火墙:设置“允许登录后台的时间点”和“允许登录后台的星期”。
2、设置后只有上面设置的时间点和星期才能访问后台页面。
十一、可以设置允许访问的IP或IP段。
1、系统参数设置里可以设置总的(后台>系统>系统参数设置>用户设置:访问控制设置);
2、修改用户可以设置单独管理员的(后台>用户>管理用户>增加或修改用户:允许登录后台的 IP 列表)。
[IP段例如设置 "192.168."(不含引号) 可匹配 192.168.0.0~192.168.255.255 范围内的所有地址]
帝国CMS8.0版后台登录时十六重安全验证
第一重、密码采用三重MD5+多重SALT加密,超强加密,密码不可破解,假如数据库被下载,也无法获取真实密码。
第二重、10重后台地址保护功能:假如对方知道密码也找不到或无法访问登录后台。
10重后台地址保护功能可以查看:
第三重、假如知道密码和通过后台地址保护认证也无法知道认证码,认证码存放.php文件必须登录FTP才能查看文件内容。
第四重、后台登录提问答案采用双重md5加密,即使数据库被偷也无法破解答案内容。
第五重、8.0版后台登录新增上传文件认证,必须与指定的文件名和文件内容完全相同才可以通过登录。相当于几十万位密码验证。
拍张照片或录个视频作为密码也是极安全的。
第六重、8.0版后台登录支持自定义登录用户名,可以与用户名不同,最长支持100个字符,更安全。
第七重、8.0版后台登录新增密码加密提交与密码加密生成器。
密码加密支持混淆字典、随机干扰字符加密生成。支持密码加密内容过期时间验证、超过时间密码失效。可有效防止密码在网络传输过程中被截取,并且假使密码被知道、没有密码生成器也登录不了后台,更安全。
是否启用密码加密生成器后台可自行设置。
第八重、商业版用户可以开启后台登录证书,不是从证书进后台无法登录。(7.0版本及以上支持)
1、用户设置绑定证书后必须通过证书页面进入才可登录网站后台,而从其他页面进入无法登录后台,更安全。
2、8.0版后台证书登录功能还新增“发送数据有效期”验证,并且后台安全参数设置里可以修改过期时间,预防上网数据传输过程被截取后产生的问题,使验证内容数据过期失效,超安全。
第九重、后台认证码新增预加密验证功能,超安全。(7.5版本及以上支持,目前只对商业版用户开放)
开启后台认证码预加密验证功能后,登录时会在客户端自动加密认证码,并且加密内容数秒后过期,可防止因宽带提供商出安全问题导致的信息泄漏影响后台。
第十重、8.0版新增后台一次性密码登录功能:登录后密码自动失效。
可以在公共网络环境时使用,不担心密码泄漏。
第十一重、8.0版后台登录错误次数限制:新增支持按用户名验证,并且可以选择IP和用户名同时开启验证。
1、按IP验证可以限制正常登录验证;
2、按用户名验证可以限制各种情况下登录验证,但有可能把正常用户的管理员账号也给锁定,建议把登录用户名改复杂点。
第十二重、支持设置访问来源验证(设置禁止非本站访问地址来源)。
1、可设置:开启前后台验证、仅开启后台验证、仅开启前台验证、开启前后台验证(严格)、仅开启后台验证(严格)、仅开启前台验证(严格)。
2、选择来源验证严格模式下,不仅验证来源域名、还验证后台目录,防护外部提交更严格。(所以重命名admin目录等于双重防护)
第十三重、可开启登录验证码,防止爆破。(建议把验证码过期时间改短,时间越短效果越好,系统参数设置里设置)
第十四重、8.0版后台密码新增复杂度检测和有效期检测功能,系统参数设置里可以选择是否开启。
第十五重、后台网站防火墙可屏蔽提交敏感字符,设置屏蔽前台所有提交内容及后台登录内容。
1、后台>系统>系统设置>网站防火墙:设置“屏蔽提交敏感字符”。
2、此功能是安全防火墙的核心,可对前台用户所有录入的信息进行安全过滤。通常设置php、mysql等攻击的相关字符。
比如:sql注入通常会用到的字符:select,outfile,union,delete,insert,update,replace,sleep,benchmark,load_file,create
3、支持设置多字符同时屏蔽,同时包含多字符可用双“#”隔开。
第十六重、8.0版新增后台登录激活功能:可以设置管理员每次登录都需要高管理员同意后才能进后台。
1、用户组权限选择“登录需激活”权限,如果勾选该权限则该用户组下的账号每次登录都需要激活才能进后台。(注意别把自己限制了)
2、用户组权限选择“登录激活管理”权限方可管理是否同意登录。
帝国CMS8.0版后台登录后十八重安全验证
第一重:系统验证采用随机密码认证,每次登录或退出都会产生新的随机密码,无规律可寻,并且认证采用数据库+COOKIE+文件+SESSION+登录文件内容验证五重认证,安全可靠。
第二重:后台登录验证COOKIE变量前缀自定义,连变量名都不知道就无法模拟COOKIE发包。(8.0版还支持后台独立COOKIE作用域和作用路径设置)
第三重:COOKIE信息采用COOKIE认证码验证,信息加密采用双重md5加密,无法破解COOKIE认证码,并且COOKIE认证码存放.php文件必须登录FTP才能查看文件内容。
第四重:COOKIE信息与登录IP绑定认证,假如COOKIE信息被完全获取并且随机密码没有改动,不知道登录者IP也无法通过认证。
第五重:COOKIE信息与浏览器信息绑定,假如COOKIE信息被完全获取并且随机密码没有改动,且登录IP被知道,浏览器信息不正确也无法通过认证。
第六重:以文件方式验证用户是否登录,假如COOKIE信息被完全获取并且随机密码没有改动,且登录者IP与浏览器信息也被知道,用户不在线也无法通过认证。
第七重:COOKIE信息与SESSION信息验证同时绑定,假如电脑中毒后COOKIE信息外泄后,无SESSION信息也无法通过认证。
第八重:除了数据库随机密码认证、COOKIE信息验证、SESSION认证外,7.0版本还新增了数据库验证信息认证,为身份认证再加一把锁。
第九重:后台管理员采用独立验证密钥,验证内容更独立,更安全。
第十重:7.2及以上版本拥有更强大的“来源HASH验证”:
后台“来源HASH验证”支持设置“刺猬模式”与“金刚模式”两种安全防御:“刺猬模式”是更改数据库内容操作时启用验证,而“金刚模式”是后台所有页面启用验证,更全面。官方推荐启用“金刚模式”。此外,“来源HASH验证”不仅可以防止管理员喜欢点击别人QQ发来攻击链接等导致安全问题,而且还相当于在原来安全登录验证基础上又加一层登录验证,且连HASH变量名都是随机的,获取更复杂,让网站管理更无忧。
第十一重:7.2及以上版本后台新增“随时认证码”验证:
后台“随时认证码”支持设定多少秒更新“新登录验证信息”,间隔多少秒后自动产生新的登录信息,使旧登录信息失效,从而保护因管理员电脑中毒或者服务器受ARP等攻击时的后台安全,让网站管理更无忧。
第十二重:7.5及以上版本后台安全验证,增加以下新的信息验证:
1、新增多个预定义变量+变量值加密内容安全验证,因为预定义变量是不可变更的,所以更高可靠验证。
2、新增生成内容加密验证,即使知道文件验证内容,也无法知道加密前的字符,无法模拟验证信息,更高安全。
3、新增随机变量名+随机变量值双重随机验证,由于变量名是随机的,无法模拟验证信息,更高安全。
第十三重:8.0版后台管理员账号新增退出状态验证,只要点退出登录链接,如果没有再次登录操作,账号都不会识别为登录状态。
第十四重:8.0版新增中转认证码安全功能,登录后必须访问该中转页,不然会识别没有登录,让安全更安全。
第十五重:8.0版在原来“来源HASH验证”功能基础上,又新增了后台表单独立来源认证码验证:所有表单均采用独立认证码验证,更安全。认证码字符在访问时才生成,不可预判。
“来源HASH验证”:所有页面共用一个访问认证码和一个提交认证码内容进行验证,登录时随机生成变量名和变量内容;
“表单独立来源认证码验证”:每个事件都是独立的认证码内容进行验证,认证码字符在访问时随机生成变量名和变量内容,不可预判。
第十六重:8.0版后台每个管理员均增加各自的加密字符库,字符库由用户长年累月不断累加更新产生,自动变化,为验证信息提供更强大的组合。生成内容由随机+累加信息组成更加牢固。
第十七重:后台网站防火墙可开启防护验证,开启后后台所有页面都受该防护设置保护。
后台>系统>系统设置>网站防火墙:设置“防火墙加密密钥”、“防火墙后台预登录验证变量名”和“防火墙后台预登录认证码”。
第十八重:8.0版后台点击前台相关链接新增多级转向设置,可有效防止被获取来源地址。(后台>系统>更多系统参数设置:设置“附加验证参数设置”)
帝国CMS 8.0 版本的更新将会给众多帝国粉丝带来新的体验,同时还会迎来更多新手站长的使用,经过织梦钓鱼维权后清退了大量站长,同时各类建站cms频出,帝国cms未来的更新将会吸引一大批老站长和新手站长使用,因为帝国CMS 不仅提高了后台管理的安全性,也为用户提供了一个更加稳固和可靠的网站管理平台。这些更新无疑将增强用户对帝国CMS的信任,并可能吸引更多寻求高安全性CMS解决方案的用户。