拿到TP最新版后,很多朋友第一反应是赶紧安装跑起来,但我建议你先停下脚步,把文件权限和安全策略这块摸清楚。这一步没做好,后面系统跑得再顺,也等于给黑客留了后门。
Linux服务器上,我习惯把TP的站点目录设为755权限,所有者为www用户,这样Web服务能正常读文件,但写权限只给特定目录。比如runtime和upload目录,我会单独设为775,确保日志和上传功能不报错,同时其他人改不了核心代码。
安全策略这块,我通常会关掉目录浏览功能。在Nginx或Apache的配置文件里,加上autoindex off,这样用户访问目录时不会看到文件列表。另外,把admin入口文件改个名字,比如admin.php改成自己记得住的随机字符串,能挡住不少自动扫描的脚本。
配置文件权限要特别注意。TP的.env文件里存着数据库密码和密钥,我把它设为600,只有自己能看到。还有install目录,装完系统后立马删掉,或者改个复杂的文件名,防止别人重装覆盖你的配置。
防火墙也要配合一下。我习惯只开80和443端口,其他端口一律关闭。如果服务器有phpMyAdmin,我会绑定到本机IP,或者用SSH隧道访问,不对外暴露。这些细节看着琐碎,但真出事的时候,就是它们救了你的数据。
