如何安全修改隐藏Zblogphp默认后台登录地址

Z-BlogPHP支持PHP 5.2 - 7.4、8.0 - 8.1，可以作为普通博客程序，也可以将其视为一套CMS，更有丰富的第三方应用。使用Zblogphp的用户还是有不少的。

目前ZBlogPHP站点后台的登录地址默认都是/zb_system/login.php或/zb_system/cmd.php?act=admin，从源代码里很容易看出使用了ZBlogPHP系统，容易被别有用心的人暴力破解。就算未被破解，但是经常收到那些尝试登录失败的邮件提醒也会心慌慌的。对于这种情况，最好的办法就是修改/隐藏我们的后台登录地址。

一、常规修改登录地址

zblogphp的默认后台登陆地址是：你的网址/zb_system/login.php，首先，修改login.php为你想要命名的后台地址(本文以abc.php为例)，然后用文本编辑器打开zb_system下的cmd.php文件，查找login.php替换成abc.php，这里应该是有一处login.php可以替换。

zb_users\theme\使用的主题目录\include.php中zb_system/login.php替换为/zb_system/abc.php。

二、常规修改后台目录

然后重命名 zb_system目录下的admin文件夹，重命名为你想要设置的后台地址(这里以命名成guanli为例)，然后用文本编辑器打开cmd.php，查 找admin/(注意有个/)替换成guanli/(注意有个/)，应该是有20处。然后进入guanli文件夹下(原admin文件夹)，分别打开 admin_top.php、category_edit.php、edit.php、index.php、member_edit.php、 module_edit.php、tag_edit.php文件，查找zb_system/admin/替换成zb_system/guanli/。这样 操作以后，其实后台地址就已经修改成功了，下次就可以直接进入yyy.php登录后台，并且后台文件夹已经不是admin，而是guanli。

需要注意的是，zblog系统它默认安装了“应用中心”插件，按照上述方法修改以后，当在后台进入”应用中心“时，会提示/zb_users /plugin/AppCentre/main.php文件出错，这个时候用文本编辑器打开main.php文件，然后查找zb_system /admin/替换成zb_system/guanli/，这样就可以解决这个问题了。如果以后在安装插件以后仍然会出现类型的问题，那么仍然按照这样的 方法去解决。

三、简单隐藏后台登录地址

/zb_system/cmd.php?act=admin会直接跳转/zb_system/login.php，zb_system文件夹下的login.php直接改名为另一个名字，如abc.php即可。毕竟如果别人猜不到你的真实后台登录文件名，默认各种跳转到/zb_system/login.php都是缺少文件报错打不开，这个就已经达到我们隐藏后台登录地址的目的了。

四、迷惑隐藏后台登录地址

1. 跟上面类似，zb_system文件夹下的login.php复制一份，改名为abc.php。zb_users\theme\使用的主题目录\include.php中zb_system/login.php（除了tpure_ErrorCode，这里会自动跳转/zb_system/login.php，用来迷惑隐藏后台登录地址）替换为/zb_system/abc.php。

2. /zb_system/login.php中的js表单提交

$("form").attr("action","cmd.php?act=verify");

改为

$("form").attr("action","cmd.php?act=verify1");

3. /zb_system/cmd.php中的switch ($zbp->action) 下加入

case 'verify1':
            Redirect_cmd_end('../');
        break;

这样/zb_system/login.php还是可以打开，但是输入任何账号密码都会跳转首页。

五、加入验证码

加入验证码是会加大暴力破解难度的，应用中心搜索一下，有个验证码免费插件。

六、虚假验证码

效果就是输入正确的验证码，也会出现验证码错误无法登录后台。

方法：zb_system\function\lib\zblogphp.php中有个ShowValidCode方法（显示验证码）

setcookie('captcha_' . crc32($this->guid . $id), md5($this->guid . date("Ymdh") . $_vc->GetCode()), null, $this->cookiespath);

改为

setcookie('captcha_' . crc32($this->guid . $id), md5($this->guid . date("Ymdh") . $_vc->GetCode().'你的隐藏验证码'), null, $this->cookiespath);

这样处理后，能进入后台的正确验证码就是验证码图片的内容+上面代码中你的隐藏验证码

七、加一个参数隐藏登录地址

后台的登录地址就变成了/zb_system/login.php?abc=123，这里的abc和123自行定义。如果不是这个地址就自动跳转到站点首页。

1、将以下代码添加到\zb_users\theme\Blogs\include.php 文件中

function zblog_login_encrypt(){
    global $zbp;
    $b="123";
    if($_GET['abc'] !== ''.$b.'') {
        Redirect($zbp->host);
        die();
        //如输入错误，返回首页，终止一切代码
    }
}

2、在 include.php 文件中找到以下代码

Add_Filter_Plugin('Filter_Plugin_Cmd_Ajax', 'Blogs_prise_do');

然后将以下代码添加到它的上面

Add_Filter_Plugin('Filter_Plugin_Login_Header','zblog_login_encrypt');//挂载登录页接口

3、添加好第 1 和第 2 步代码并保存更新 include.php 文件后，点击后台的【清空缓存并重新编译模板】按钮。

八、结论

到此这篇关于如何安全修改隐藏Zblogphp默认后台登录地址的文章就介绍到这了,更多相关隐藏Zblogphp后台登录地址内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

最新评论