三步“安全地”更改 Typecho 的默认后台地址

2017-6-23 16:01 P.S.原来的方法有安全漏洞,已更新在文中。

安全,一切为了安全。

Typecho 的默认后台地址就是在域名后面加“/admin/”,实在是不敢恭敬。当然进了登录页面也不一定能暴进后台,但是为了提高安全性,什么都是值得的。

嗯,首先声明,此文技术来源于我N久前看的一篇文章(可能是 Typecho 官方的),并非我原创或首先发现。

首先,利用 FTP 或其他工具进入网站目录,改掉 admin 这个文件夹的名称。

最后,修改文件 config.inc.php。你可能忽然就能看到有行“后台路径(相对路径)”的注释,没错!将下一行(即第二十行)的“TYPECHO_ADMIN_DIR”常量的值改掉就行了!依葫芦画瓢咯,实在不会的话,这里有个参考。假设我要将后台地址改成“域名/houtai/”,那就要将这些代码:

define('TYPECHO_ADMIN_DIR', '/admin/');

用这行代码换掉:

define('TYPECHO_ADMIN_DIR', '/houtai/');

此方法适用于 Typecho 当前最新版 0.8,本人亲测成功。

此文原发于 2012-11-14 13:11,原题为《两步更改 Typecho 的默认后台地址》,介绍的方法在 Typecho 1.0 仍然可以使用。然而,不管是在 0.8 还是在 1.0,都遗漏有安全问题。具体来说,仍然可以通过 /index.php/action/login 进入登录页面,暴露后台地址。

因此,要想办法禁用 /index.php/action/login/action/login 的访问。比如借助 .htaccess 文件,或者 Nginx 的配置等等。但是注意,禁用后可能自己都访问不了,所以得有 IP 白名单或者别的什么东西。

或者也可修改 Typecho 的源码。/var/Widget/Do.php/var/Widget/Options.php,查找 'login'(全小写,含引号),把 login 改为一个相对复杂的值。为了杜绝模板中有相关链接,也需要检查模板甚至插件,有没有添加后台登录链接,有的话就删掉。这个方法来自于 bstaint的博客,感谢灰狼

做完这一步,才算是达到了修改后台地址的目的。

2017-6-24 9:27 P.S.修正文章的讹误。

若无特别说明,本文系原创,遵循 署名-非商业性使用 3.0 (CC BY-NC 3.0) 协议,转载文章请注明来自【闪星空间】,或链接上原文地址:http://shansing.com/read/223/

19 条评论

  1. Typecho 当前最新版为 0.8...

    1. 好吧,我懂了,手抖~

  2. Ben Ben

    8....8.0?!= =

  3. 看到最后一排字我想说一句...

    我的眼睛!!!!!!!!!!!!!!!!!!!

    1. 我的双手!!!!!!!!!!!!!!!!

  4. 未名 未名

    这样有关admin文件夹连接的数据全部都受影响的。改了文件夹名字数据库的路径也出错了。

    1. 不会的,这样出错是因为没改掉 TYPECHO_ADMIN_DIR 常量的值。

  5. 贵站的 “阅读全文”是链接的形式,而分类是按钮的形式,容易让人误点

    1. 谢谢。下次我改模板的时候注意一下。

  6. Meepo Meepo

    你好,,为啥我1.0的typecho改了后台路径之后,用index.php/action/login直接返回给我了一个全空的页面,查看网页源代码也是啥都没有?

    1. 嗯?做到第几步了?

      1. Meepo Meepo

        我把后台的admin路径改为我自己的路径了,然后/index.php/action/login出来的结果是全空的页面。。改完之后的后台我是可以访问的,,就是无法理解这个为啥会全空?

        1. 可能是因为没改 config.inc.php 文件?

          1. Meepo Meepo

            第一步就是改的这里。。。

            1. 那……是版本不同么……可以从登录页面登录,访问那个地址没有跳转,应该就没问题。

  7. 其实访问很多个地址都会自动跳转回登录页~
    不过据说更新到 Typecho 1.1 情况会好一点?

    1. 已经有1.1的消息了?

      1. https://joyqi.com/typecho/about-typecho-20171027.html
        “新的正式版,会在本周放出。”

发表评论»

NO SPAMS! 不要发垃圾评论哦!

表情