访问保护模块是对网站进行细粒度的安全防护,有效拦截黑客入侵。强烈建议开启。
1、静态目录保护
保护静态网页目录,禁止执行动态脚本,防范黑客利用在线上传漏洞执行网页木马。一般设置upload目录。
如下图所示,这些目录内的PHP网页都无法运行。
2、网站后台保护
对网站后台做保护,只有授权区域或持有授权密码的用户才能访问后台。
例如:限制网站后台只对成都区域开放,非成都区域一律无法访问,大幅提升网站安全性。如果成都外的用户要进入后台,则需要输入授权密码才能进入。
3、限时访问保护
设置URL定时开放时间。例如设置留言板或论坛只在白天开放。
4、文件盗链防护
限制“保护类型”的文件,只允许当前域名或“来路白名单”的URL访问。
开启后,默认所有网站都会开启防护,如果无需防护的网站或目录,请添加到“URL白名单”。
5、文件类型保护
限制指定类型的文件不能被访问。例如禁止访问.sql类型的文件。
有效范围一般用于禁止下载文件场景。例如管理员将网站压缩包放在根目录,解压后忘记删除,容易被黑客暴破出文件名从而下载。
根目录:即只对网站根目录下的文件做保护。例如不能下载 http://www.hws.com/hws.zip,但是 http://www.hws.com/source/hws.zip可以下载。
所有目录:所有保护类型的文件都不能下载。例如 http://www.hws.com/hws.zip和 http://www.hws.com/source/hws.zip都不可以下载。