在phpwind討論區裡經常會有人提到說論壇被攻擊,懷疑論壇有漏洞等。其實到目前為止,phpwind還沒有發現重大的漏洞可以論壇程序掌握管理員權限,而很多時候是服務器配置或者其他網站程序上的問題,就象http://www.phpwind.net/read.php?tid=14534&keyword=這裡一例,就是因為phpadmin漏洞而導致掌握了數據庫權限。
以我這兩年對於網絡安全的研究,對利用自己機器搭建phpwind平台的朋友說以下幾點意見:
1、安裝mysql服務器的時候不要默認root密碼為空。
2、利用防火牆屏蔽mysql對外端口,只允許本機調用。因為目前已經有mysql服務溢出漏洞。
3、用其他路徑安裝phpadmin,不要讓破壞者輕易找到你的phpadmin程序地址,目前phpadmin已經有漏洞,而且這種大型流行程序很容易在傳播中成為黑客們的攻擊對象。
4、經常升級各類服務器的版本,打系統補丁。