我們都知道后台/admin是我們最常用的登錄入口,方便的同時也留下了隱患,如果你剛好使用了admin/123456這種賬號密碼的方式,會導致我們的后台完全暴露在外。
因此我們建議修改后台的登錄入口,達到隱藏后台登錄入口的效果。
操作步驟
1、首頁修改application/config.php中deny_module_list的值,其中默認已經有common,我們添加admin,改成['common', 'admin']
2、然后修改項目public目錄下的admin.php,將其改名為admin_d75KABNWt.php,我們可以將admin.php其中的admin改成任意隨機的字符串,越長越好。
登錄后台
通過以上的修改后,我們不能再通過www.yoursite.com/admin的形式登錄后台了,此時我們可以采用www.yoursite.com/admin_d75KABNWt.php,其中admin_d75KABNWt.php就是我們任意修改的名稱。
請保護好你后台的登錄入口,千萬別到處去粘貼,如果有泄漏后台入口,請再次嘗試修改即可。
安全建議
通過上面的隱藏后台入口地址,我們已經加好了第一道門,以下是FastAdmin給大家的安全建議,為我們后台添加更多的安全防護。
1、定期修改后台管理的登錄入口和超級管理員密碼,越復雜越好。
2、開啟后台登錄驗證碼,開啟方式:修改application/config.php底部中login_captcha,將它的值改為true
3、修改后台超級管理員用戶名,默認是admin,建議修改,修改方式直接在權限管理->管理員管理中修改
4、移除冗余的管理員,早期FastAdmin中默認添加了幾個管理員用於權限划分,建議刪除。