今天用了360网站安全卫士检测下,提示一些警告,其中一条有关于install.php文件的….
对于install.php文件之前没什么太在意,也不是很了解,于是查了一些有关的信息与资料,在这里随便跟大家分享下哈…..
用wordpress建立网站后,程序会在网站管理目录web/wp-admin/下遗留一个叫做install.php的文件。这个文件是安装程序中的支持文件,只在安装时会调用,当程序释放后就失去了作用,删除并不影响网站功能。这就如同下载可执行文件,安装到电脑后,下载的安装文件是可以删除的,并不影响程序的运行。此目录包含了危险的功能或信息,黑客有可能利用这些脚本或信息直接获取目标服务器的控制权或基于这些信息实施进一步的攻击。所以,我们有必要对这个文件进行处理,以保证整个网站的安全。那么,我们需要怎么做呢?

处理install.php的办法当然不止一种。我们可以选择执行拒绝写入指令或者是修改程序名称,让黑客无法修改或者无法识别这个文件,来达到阻扰黑客的目的。也可以直接删除。

1)执行拒绝写入指令。这个可以在网站空间的控制面板操作,大部分的服务器都支持这种做法,而且很简单,还可以对整个目录做出执行拒绝写入指令。当然了,也可以在ftp端的属性选项进行操作。

2)修改程序名称。我们可以修改前缀,把install修改成任何你想要的名称。也可以修改后缀名,把格式定义为其他任意格式,如把.php改为.xyz。这么做的目的是伪装这个文件,阻扰黑客的识别,反正这个文件又不会影响网站功能,随便我们怎么定义了。

3)清空文件内容。用文本编辑器打开install.php,把里面脚本记录清空然后保存。这样即使黑客获取了这个文件,也无法对安装脚本进行分析。

4)直接删除。这是最直接有效的方法,也是推荐与首选。前面说了,这个文件只在网站程序载入空间服务器时需要调用,不然无法完成安装。但是安装完成后,就完成了它的使命,同时也失去了它的作用。删除它的另一个好处是,可以为服务器节省一丁点空间。

最后,总结下,我是直接把说install.php文件重命名了,就算后期要的话,改回来就好了,而且install.php文件本身不大,占不了多少空间对吧,其实对于网站安全要根据实际,利用多种方法,定期备份其实是最笨也是最有效的方法,没有之一…….
好了,洗刷下,美美的午休下……

Tagged with: ,