ZBlog文件权限安全设置指南

为了防止ZBLOG被黑或是系统漏洞网站被攻破，可以将网站权限做如下设置，可以在宝塔面板的文件管理里操作。

A：需要保留w权限的目录及子目录及其下所有文件

zb_users/cache

zb_users/upload

B：需要删除w权限的有

zb_system及其子目录

zb_users下除了cache,upload的其它目录

根目录下的index.php,feed.php,search.php

C：解决不能ftp覆盖或不能安装主题，插件的问题：

1.如果要覆盖zb_system就在文件管理里给zb_system及子目录增加w权限

2.如果要安装新插件，zb_users下的plugin目录也要增加w权限

3.其它有需求目录也同样处理。

4.为了防止黑客种木马在网站里，覆盖完成后请尽快删除增加的w权限

D：开启宝塔的代码防篡改功能。

E：nginx的安全配置

location ~* /(zb_users/cache|zb_users/upload|zb_users/logs)(.*)\.php$ {

    deny all;

    return 404;

}

location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md)

{

    return 404;

}