在phpwind討論區裡經常會有人提到說論壇被攻擊
懷疑論壇有漏洞等
其實到目前為止
phpwind還沒有發現重大的漏洞可以論壇程序掌握管理員權限
而很多時候是服務器配置或者其他網站程序上的問題
就象/read
php?tid=
&keyword=這裡一例
就是因為phpadmin漏洞而導致掌握了數據庫權限
以我這兩年對於網絡安全的研究
對利用自己機器搭建phpwind平台的朋友說以下幾點意見
安裝mysql服務器的時候不要默認root密碼為空
利用防火牆屏蔽mysql對外端口
只允許本機調用
因為目前已經有mysql服務溢出漏洞
用其他路徑安裝phpadmin
不要讓破壞者輕易找到你的phpadmin程序地址
目前phpadmin已經有漏洞
而且這種大型流行程序很容易在傳播中成為黑客們的攻擊對象
經常升級各類服務器的版本
打系統補丁
From:http://tw.wingwit.com/Article/program/PHP/201311/20796.html
