设为首页 - 加入收藏
您的当前位置:主页 > 网站站长帮 > Discuzl论坛 > 正文

discuz论坛安全设置

来源:敏杰资讯网 编辑:敏杰资讯网 时间:2018-07-04

安全问题

新搭建一个discuz论坛,大头让我调研一下discuz的安全策略,并提出如下几点要求:

1、防止php上传漏洞
2、防止大量刷新攻击
限制某个IP大量刷新某一页面导致论坛宕机
3、防止恶意注册、发帖
限制用户IP大量注册、大量发帖
关键字过滤

针对策略

我调研了相关的资料,针对大头提到的三条问题给出解决方案如下:

对第一条
1)防止上传php代码执行
配置nginx入口上对data|images|config|static|source|template 这几个可以上传的目录里的php文件禁止访问 。
(更安全一点就是列出放行的,其他全部禁止。)

对第二条
1)限制某个IP大量刷新某一页面导致论坛宕机
方案:
在 forum.php(论坛入口) 和 home.php(个人中心入口)分别加载“频率控制程序”。
频率控制程序记录ip的访问频率,将单位时间内达到阈值的ip加入黑名单。
对来源ip在黑名单的请求,退出并返回警告。

对第三条
1)“限制用户IP大量注册”
个人觉得当前没有太大问题:
现在注册流程用的公司统一的帐号中心,注册要绑定手机号验证。这个注册条件基本可以杜绝一个人注册大量用户。
2)“大量发帖”
可以通过论坛自带的“防灌水”设置发帖间隔;
3)关键词过滤
论坛自带“敏感词”过滤功能。
也可以再一些过滤发帖和回复的插件

综上所述,对第一条需要nginx做相应配置,对第三条需要修改论坛的设置,难点在第二条“频率控制程序”的设计和实现上。
“频率控制程序”初步打算使用redis的string类型结构,key为ip,value为频率,具体算法仁者见仁智者见智了。

 

 


编辑:敏杰资讯网

相关文章:

相关推荐:

网友评论:

敏杰科技Copyright © 2015-2023 Www.880834.Com. 敏杰科技 版权所有

(本站非经营盈利网站)本站内容来自网络转载和网友投稿如有问题联系删除 邮箱:[email protected]

川公网安备 51340102000058号

蜀ICP备16031786号-1

Top