日益严峻的安全环境，分享几个措施保护网站安全

mt

• 权限最小化。写的权限只允许data和/uc_server/data
• 隐藏真实目录，把uc的目录，后台管理地址目录更换名称。
• php外部访问白名单。在nginx或者其他伪静态规则中，使用白名单访问php，其他没有放入进去的一律返回错误，要么定向到首页要么返回404或者503
• php该升级了。5.3以下都太老了。 5.2这个更是，哎，不说了。 有条件都升级到5.6吧。如果想支持7，也可以用用。
• 数据库一定不要用root作为账户。这个太危险，数据库很多配置允许执行系统函数。
• 数据库只允许增删改查即可。 其他高级授权命令禁止
• 自己排查一下你安装的插件，不需要的直接删除。插件越多隐患越多。
• 盗版插件，趁早卸载。
• 时刻查询百度收录的最新数据，看是否有异常。
• php部分敏感函数就禁止了吧。
• php、mysql千万别以root身份去运行。后果很惨。
• 注意修补已经公布的discuz漏洞，注意升级到最新版。已经公布的漏洞是最危险的。
• 目前官方应为某些问题，对dz的漏洞响应比较慢了，大家要多做安全措施。