如何讓 Discuz! X 的后臺(tái)更安全

monkeye

如何把 X 的后臺(tái)保護(hù)起來？這是一個(gè)歷史問題，有人說把 admin.php 刪掉，有人說把 admin.php 改名，還有人說通過 nginx 配置限制下 ip


嗯，這些方法都可以，都很好，也是一直以來大家都常用的方法，但是在 X5 里，我們本著將開放進(jìn)行到底的原則，講講新方法

首先，以下方法在 admin.php 文件不存在的時(shí)候才有效，改名就沒必要的，直接刪了吧，因?yàn)閷?duì)于 X5 來說 admin.php 實(shí)際上只是一個(gè)跳轉(zhuǎn)鏈接而已

在 config/config_global.php 文件結(jié)尾加上以下內(nèi)容：

1. $_config['admincp']['validate']['method'] = 'default';
   
2. $_config['admincp']['validate']['user'] = 'abc';
   
3. $_config['admincp']['validate']['pass'] = '123';

復(fù)制代碼

然后你用此鏈接登錄后臺(tái) /?app=admin，你會(huì)發(fā)現(xiàn)登錄后額外彈出了“Authenticate”方式的二次校驗(yàn)！

神奇不??？咳咳，這只是開胃小菜，我們說正經(jīng)的

我們把 method 改成任何一個(gè)值

1. $_config['admincp']['validate']['method'] = 'sample';

復(fù)制代碼

（child 是曾經(jīng)說過的內(nèi)容，看這里 http://www.9999xn.com/thread-23848-1-1.html）
代碼如下，只是一個(gè)簡單的 input 表單和固定的密碼 12345


然后我們測(cè)試下效果，首先正常登錄：

正常登錄后額外彈出了這個(gè) input，我們輸入 12345 后才能正常登錄


是的，我們可以用插件的方式給我們的管理后臺(tái)做二次校驗(yàn)功能了，你還想到了什么更安全的方式？要不要寫起來？

維清

沙發(fā)已占位。

凹凸曼

科站網(wǎng)

今天忙，沒搶到