拿到TP最新版後,很多朋友第一反應是趕緊安裝跑起來,但我建議你先停下腳步,把文件權限和安全策略這塊摸清楚。這一步沒做好,後麵係統跑得再順,也等於給黑客留了後門。
Linux服務器上,我習慣把TP的站點目錄設為755權限,所有者為www用戶,這樣Web服務能正常讀文件,但寫權限隻給特定目錄。比如runtime和upload目錄,我會單獨設為775,確保日誌和上傳功能不報錯,同時其他人改不了核心代碼。
安全策略這塊,我通常會關掉目錄瀏覽功能。在Nginx或Apache的配置文件裏,加上autoindex off,這樣用戶訪問目錄時不會看到文件列表。另外,把admin入口文件改個名字,比如admin.php改成自己記得住的隨機字符串,能擋住不少自動掃描的腳本。
配置文件權限要特別注意。TP的.env文件裏存著數據庫密碼和密鑰,我把它設為600,隻有自己能看到。還有install目錄,裝完係統後立馬刪掉,或者改個複雜的文件名,防止別人重裝覆蓋你的配置。
防火牆也要配合一下。我習慣隻開80和443端口,其他端口一律關閉。如果服務器有phpMyAdmin,我會綁定到本機IP,或者用SSH隧道訪問,不對外暴露。這些細節看著瑣碎,但真出事的時候,就是它們救了你的數據。
