说明

这个定制版本与官方原版的主要区别，在于移除了官方的远程更新代码，并且没有采用官方的新界面。简单来说，就是在安全基础方面做了全面升级。

运行目录请设置为 public，采集插件在应用管理中启用即可。本次重大更新自2025年2月5日开始。

主要更新内容

• 框架升级：将底层 thinkphp 框架更新至最新的 5.0.27 版本。
• 目录安全迁移：遵循 thinkphp 安全规范，将运行目录迁移至 public。
• 安装程序增强：安装时支持自动生成或自定义后台入口文件名称，提升隐蔽性。
• 全面去远程化：彻底移除后台潜在的远程JS代码、自动更新功能及安装记录提交，从根本上杜绝可能来自官方的XSS攻击与远程控制风险。
• 后台信息保护：去除后台版本检测与信息收集功能，并解密了相关加密字符，进一步保障隐私。
• 模板目录调整：模板安装目录由 根目录/template 迁移至更安全的 根目录/public/template。

错误修复与性能优化

• 大规模修复：累计修复后台各类未定义变量、数组索引及致命错误50余处；修复前台同类错误超过200处。
• 性能提升：优化了多处算法，解决了因错误导致的阻塞问题，并优化了缓存安全机制与后台首页加载速度。
• 功能新增：
  • 加入群站URL独立密码功能。
  • 网站导航新增一键获取网站信息功能。
  • 解密 player.js，移除导致夜间跳广告的远程代码。
  • 后台登录新增 Token 口令验证，有效防御CSRF跨站攻击。
• 安全加固：
  • 屏蔽后台“网站首页”链接的来路追踪，防止暴露后台入口。
  • 过滤来自资源站的XSS跨站脚本攻击代码。
  • 修复后台测试邮件发送功能中可能执行任意PHP代码的高危漏洞，该漏洞可被利用植入Webshell。

安全部署建议

提示：建议将Nginx低版本升级至1.25.4以修复相关缓存漏洞。

为确保系统安全，请遵循以下目录权限设置：

• public/static、public/static_new、public/upload 目录：全部禁止运行PHP。
• thinkphp、extend、vendor 目录：锁死写入权限。

同时，强烈建议启用以下安全策略：

1. 后台管理开启登录验证码。
2. 管理员密码使用6位以上的数字、字母及特殊字符组合。
3. 前台关闭游客评论与留言功能。
4. 开启搜索验证码并设置搜索时间间隔限制。

演示图

感谢您的来访，获取更多精彩文章请收藏本站。