WellCMS安全問題注意

安裝完刪除或修改 install 和 tool 目錄。

另外注意以下幾點：

（1）盡量選擇安裝linux系統，不要使用虛擬機，容易被跨站攻擊；

（2）linux關閉root密碼登錄系統，改為證書登錄；

（3）關閉ftp及一些不需要的埠，或者開啟雲盾之類的保護；

（4）控制目錄許可權，安裝好wellcms後，登錄linux，在站點配置文件server添加如下代碼，禁止這些目錄運行php文件。

（5）及時給linux系統打補丁，或者添加啟動進程，每天自動檢查補丁升級；

（6）管理員密碼盡量使用 符號+字母大小寫；

（7）插件方面盡量不要使用盜版或非官方提供的插件；

（8）為站點配置CDN服務，並開啟程序CDN，如何開啟請參考 http://www.wellcms.cn/read-125.html

（9）修改或刪除後台目錄（admin），直接修改後台admin目錄名稱即可，登陸時使用新的目錄名。用戶登錄的目錄名是不同的，不用擔心像wordpress那樣，用戶和管理員後台登錄地址一樣。

修改後，需要相應的修改以下幾個文件，

路徑：根目錄的 view/htm下的4個文件
operate_close.htm
operate_delete.htm
operate_move.htm
operate_sticky.htm
這幾個文件中的以下代碼
<?php include _include(APP_PATH.($backstage?'admin/':'').'view/htm/footer.inc.htm');?>

中的admin修改為重命名的管理員後台目錄名稱。
缺點：自定義的 文章列表底部添加的 編輯 按鈕 不能獲取文章tid，單文章頁面底部編輯按鈕正常。

前台點擊管理員進入會員首頁/home.html也可以編輯刪除等。

主程序升級的時候，自行手動覆蓋升級即可。