ecshop服务器端的文件和文件夹应该如何设置权限才是安全的？什么文件夹应该设什么权限？

目前网络黑客、木马，比较泛滥的今天如何才能通过系统本身的安全性设置来防止被入侵，下面列出几点意见欢迎大家交流。
1，不要购买或者下载来历不明的模板、插件。
来历不明的模板或插件及有可能带有后门程序，使用后被人利用后门入侵网店，重要信息，以及被长期监控。或将您的订单会员资料出售给同行，后果相当严重。
2，找人开发功能或者修改模板的时候，不要将服务器密码等重要资料交给对方
将FTP，或者服务器密码交给别人是非常危险的事情，一定要对对方的资质与信用进行评估，因为有人会通过这样的方式要到密码后进行入侵。合作结束后一定要修改掉服务器或者FTP密码
3，后台路径修改一下更安全。
从ECSHOP271版本开始，可以自定义后台路径，修改方法也比较容易，比如我要将 /admin 改成 /ecmoban
首先进FTP中将admin目录改成ecmoban
其次打开 data/configphp 这个程序，将所有“admin” 字段 改成 “ecmoban”
$admin_dir = "admin"; ==》 $admin_dir = "ecmoban";
define('ADMIN_PATH','admin'); ==》 define('ADMIN_PATH',ecmoban);
这样就行了
4，后台主管理员的用户名和密码进行修改，默认的其他管理员删除
建议将管理员账号改成中文，比如原来是admin 改成“模板堂”
然后密码改成15位以上，数字英文和符号混合。
5，检查模板文件的安全性
因为ecshop的模板机制是 dwt+lbi文件运行。而如果dwt文件可以直接访问对模板的安全性是不够的，容易被人直接下载你的模板。我们可以从浏览器里输入
你网址/模板目录/indexdwt 来测试是不是可以打开，如果可以打开页面则说明有问题。默认情况下是403错误。
如果可以打开（不是403错误，看到的是带一点点乱码的页面）
那么你可以在后台 商店设置-URL重写里 勾选简单或者复杂重写。因为伪静态的规则对于模板也有一定的保护作用，再试试 直接访问indexdwt 应该就打不开了。
6，在后台商店设置里 限制附件上传的大小
后台商店设置-基本设置里 有一个附件上传大小的设置，建议将默认值改成0
7，找一家比较安全的空间商来合作
空间是网站的最后一道防线，有硬件防火墙、定期备份数据等防护措施的服务器机房将大大提高你的网站安全性，这里比较推荐用ECSHOP直通车产品 运用目前比较流行的云服务器技术，并可以定期备份，是广大ECSHOP商家的首选。
8，定期去论坛更新ECSHOP补丁
官方会按最新的漏洞发布补丁，我们要做的就是经常更新补丁即可

1、准备好一台云服务器，云服务器多包含的基本配置就是cup，内存，硬盘等基本配置。

2、利用云服务器的IP地址，账户名，密码来登录。（云服务器的用户名是由云服务器的系统而定的，windows系统用户名就是administrator，linux系统用户名就是root）

3、用电脑来登录云服务器，从电脑桌面打开“远程桌面连接”

4、输入云服务器的IP地址，点击连接

5、链接之后，输入账号和密码（这里需要注意，电脑的 *** 作系统必须和云主机 *** 作系统一致，才能登陆成功）

6、登陆成功之后，在您的电脑桌面上就会出现云主机 *** 作桌面啦。您可以在这里部署您的网站，应用程序等其他应用。

有条件建议找专业做网站安全的sine安全来做安全维护。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

　

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

二：挂马恢复措施：

1修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

    密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

    SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2创建一个robotstxt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3修改后台文件

第一步：修改后台里的验证文件的名称。

    第二步：修改connasp，防止非法下载，也可对数据库加密后在修改connasp。

    第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4限制登陆后台IP

此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。

5自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

    ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

    可以禁止上传或着限制上传的文件类型。不懂的话可以找你的网站程序提供商。

8 cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11例行维护

a定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

    b定期更改数据库的名字及管理员帐密。

    c借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。

---