始于初见,止于终老

Typecho后台路径安全修改

使用Typecho有一定年头了,修改后台路径可以增加一定的安全系数,通过修改配置文件config.inc.php的后台目录:

/** 后台路径(相对路径) */
define('__TYPECHO_ADMIN_DIR__', '/admin/');

将admin修改为其他目录,然后将admin实际目录做相应的名称修改,这就完事。

如果以为这真的完事那就真的是太相信Typecho了。发起一个POST action/login,然后302重定向到正确的登录界面。而这个地址是暴露到大众面前,完整地址是:“domain.com/index.php/action/login”。即使修改了后台路径,但通过登陆操作仍然会跳转到正确的登录界面,相当于之前的修改是无效的,无效的!

修改
找到 varWidgetDo.php (line26) 修改login改成你自定义的安全码。

'login' => 'Widget_Login',

接着在typechovarWidgetOptions.php (line208),继续修改'action' => 'login'为自定义安全码。

/**
     * 获取登录提交地址
     *
     * @access protected
     * @return string
     */
    protected function ___loginAction()
    {
        return $this->widget('Widget_Security')->getTokenUrl(
            Typecho_Router::url('do', array('action' => 'login', 'widget' => 'Login'),
            Typecho_Common::url('index.php', $this->rootUrl)));

添加新评论