一、迅睿CMS安全性

1、系统后台安全设置

开启https、开启跨站验证、登录失败次数设置

定期修改密钥，该密钥用于Cookie数据加密，为了保证用户数据安全

2、目录权限（非常重要）

目录权限的配置非常重要，80%的网站系统入侵后成功挂马，基本上是权限设置不正确引起的。

迅睿CMS系统目录权限配置的原则为：

可执行PHP脚本的目录，不允许可写，可写的目录，不允许执行PHP脚本。

这样即使黑客侵入了网站目录，也不能轻易让木马在可执行PHP脚本的目录下运行，相当于把木马文件隔离起来了。

3、分离后台程序，个性化后台域名

不要把后台放在前端目录中，防止被猜疑利用，大部分站点后台容易被人猜测出来。

我们强烈建议后台域名不要通过公网DNS解析，最好手动绑hosts文件访问。

如果有条件的话，后台更应该放置在VPN以及内网下访问。

4、禁止模版目录在线修改

迅睿CMS后台提供了在线修改模版的功能，提供了一定的方便，但是一旦黑客通过其他途径拿到了后台帐号密码，并进入了后台，就可以在线修改模版并植入木马程序。

为了安全起见，我们强烈的建议用户不允许在线修改模版，因为你方便，黑客们也喜欢。

通过FTP或SFTP软件来进行模版修改，同时开启FTP与SFTP的操作日志。

5、开启后台操作日志

作为网站管理员，养成定时查看日志的习惯才是好同志。

通过开启迅睿CMS后台的操作日志，并定时查看是否有非法登入后台的管理员账户，是否有非法访问后台地址的行为。

6、开启访客日志记录

实时查看网站访问数据和POST提交数据，统计用户的操作行为日志，记录源端口号、IP、设备信息。

7、补丁更新及安全检查

迅睿CMS源码是免费开源的，任何有技术基础都可以来使用建站，找“第三方”来做网站时，普遍情况下“第三方”不会给你及时升级网站，因为“第三方”需要考虑维护成本，“第三方”只求网站满足使用者的需求，这往往就忽略的网站的安全性风险。

迅睿CMS使用过程中，如发现已知的安全漏洞，官方会在第一时间修复漏洞并提供补丁包，并通知我们的客户及时打上补丁，避免再次入侵，造成更大损失。

如果您在使用过程中发现有入侵现象，请及时与我们联系，我们会安排工程师进行网站扫描与清理工作。

8、数据库与网站备份

建议每天对网站程序和模版以及数据库进行备份，阿里云服务器可以用设置定时快照备份，大部分虚拟主机也有自动定时备份功能，以防出现故障后无法恢复历史文件。

二、服务器安全配置

虚拟主机安全性都是由服务商来设定；

云服务器建议安装BT面板的防火墙插件

三、其他开源程序的安全配置

如果您的服务器运行了不止迅睿CMS一个产品，还有如Discuz、DedeCMS、帝国CMS等开源产品，请及时关注这些产品的安全信息，并做好补丁工作。

四、不常维护的网站可以托管给迅睿维护

有自己的技术团队来维护网站，成本高，按二三线城市来说一个技术员每月工资在5K以上，完整的项目至少两个技术员，每年下来是一笔不小的支出。

对于没有技术员维护的网站建议托管给迅睿官方维护，普通站点1800元一年，相比招聘一个专职技术员划算的多，迅睿官方维护自家的程序更专业！

五、已经中了木马怎么办？

对于已经中了木马的网站，需要站长联系迅睿官方协助你清理木马！

迅睿官方联系方式：https://www.xunruicms.com/dev/