返回列表 发布新帖
查看: 13|回复: 0

Xiuno 论坛安全加固实战清单

988

主题

0

回帖

833

积分

高级会员

积分
833
发表于 2026-6-24 12:00:01 | 查看全部 |阅读模式
这两年还在用 Xiuno 的朋友不算少,但不少站长对安全这一块要么掉以轻心,要么只停留在“装个防火墙就行”的层面。Xiuno 本身轻量、结构简单,这是优点也是风险点:默认配置过于宽松、插件生态良莠不齐、PHP 环境差异大,一不留神就给脚本小子留了门。下面结合自己的踩坑和给朋友救火的经历,聊几条更接地气的安全设置建议。

第一步是环境基线。别把 Xiuno 丢到随便一台廉价 VPS 上就上线。建议选择长期维护的 Linux 发行版,Nginx+PHP-FPM,PHP 版本至少 7.4 起步(实测兼容最好的是 7.4/8.0 这一代),关闭所有不必要的 PHP 扩展和函数,特别是 exec、shell_exec、passthru、proc_open、popen、putenv、assert、eval 等能执行系统命令或动态代码的入口。PHP.ini 里把 expose_php 关掉、display_errors 设为 Off、log_errors 开启并定向到独立日志文件,open_basedir 限定到站点目录,禁用远程文件包含 allow_url_fopen。Web 服务器层面,给 upload、attach 等上传目录加上不执行脚本的限制,Nginx 用 location 配置拒绝 .php、.phar、.phtml 在这些目录内执行。

第二步是安装面向最小权限。很多人图省事把整个站目录 777,这就是邀请人上你机器跳舞。推荐做法是:站点文件属主给运行 PHP-FPM 的用户,目录 755、文件 644;仅 data、upload、tmp 这类需要写入的目录给可写权限,且单独分组控制。再进一步,给这些可写目录加一层 index.html 防目录遍历,Nginx 关掉 autoindex。数据库层面,新建独立账号只授予目标库的 SELECT/INSERT/UPDATE/DELETE 权限,严禁全局 SUPER/FILE/GRANT;外网访问的 MySQL 一律关掉或限定白名单。

第三步是登录与后台入口。Xiuno 的 admin 路径和账号名不改就是等着被撞库。建议:修改后台入口路径(哪怕是加一层反向代理路径映射),管理员用户名避免常见词,启用强密码策略并定期轮换。配合 WAF 或 Fail2ban,针对登录接口做频率限制与 IP 封禁。再加一道 IP 白名单或简单的 HTTP Basic Auth 给后台入口,实际拦下的扫脚本会多到你惊讶。如果服务器支持,管理操作开二次校验(短信/邮箱令牌也行),至少把 cookie 时效缩短,敏感操作要求再次输入密码。

第四步是上传与附件过滤。Xiuno 的上传点多,而且插件容易新增上传入口。务必只允许明确的白名单类型:jpg/jpeg/png/gif/webp/pdf 之类;用 MIME 与文件头双重校验,别只看后缀。对图像二次处理(比如用 GD/Imagick 重绘)能灭掉大多数伪装马;对非图片型附件,统一重命名为随机名并去除原始扩展。开启独立的静态域名或子站托管附件,整站不解析脚本,等于把“能执行”这条路堵死。上传目录定期扫描可疑文件,比如含
回复 转播

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关灯 在本版发帖
扫一扫添加微信客服
QQ客服返回顶部
快速回复 返回顶部 返回列表