綁定后，會(huì)顯示當(dāng)前綁定的微信賬戶
 

綁定成功以后，退出后臺(tái)，返回到登錄頁面，即可看到掃碼登錄，點(diǎn)擊右上角圖片可以在賬號(hào)密碼登錄和掃碼登錄之前進(jìn)行切換

打開微信，掃一掃即可登錄后臺(tái)，是不是很方便！
 

設(shè)置完成以后，凡是編輯操作，保存之前，第1次都會(huì)需要回答問題進(jìn)行驗(yàn)證，后續(xù)的每次編輯操作，不需要再次回答問題：

3、增加安全設(shè)置，將和安全相關(guān)的設(shè)置放到一起，便于操作
系統(tǒng)安全設(shè)置主要包含以下的幾個(gè)方面：
1）后臺(tái)登錄名稱
此功能之前的版本就存在，但是如果直接輸入后臺(tái)登錄地址全路徑，還是可以容易找到登錄入口。本次更新徹底解決了這個(gè)問題，如果設(shè)置為admin123，那么后臺(tái)地址就是：http://您的網(wǎng)址/admin123，如果不知道后臺(tái)地址就無法登錄

2）后臺(tái)訪問IP白名單
如果設(shè)置了后臺(tái)訪問白名單，那么只有指定的IP才能訪問后臺(tái)，對(duì)于有固定IP的企業(yè)非常有用，可以杜絕黑客登錄后臺(tái)，極大地提高系統(tǒng)安全性。
如果你沒有固定IP，可以使用代理服務(wù)器作為固定IP，來訪問后臺(tái)。在瀏覽器里設(shè)置代理服務(wù)器的地址，然后通過瀏覽器訪問即可

3）目錄權(quán)限檢測(cè)和設(shè)置建議
設(shè)置步驟：
第一步：網(wǎng)站安裝完成后，先將整個(gè)網(wǎng)站根目錄設(shè)置為只讀；
第二步：然后將/Data和/Upload目錄設(shè)置為可讀寫并關(guān)閉腳本可執(zhí)行權(quán)限。
這里特別說明：關(guān)閉腳本可執(zhí)行權(quán)限，不是關(guān)閉目錄的執(zhí)行權(quán)限（與Linux操作系統(tǒng)有關(guān)）、而是關(guān)閉目錄的腳本執(zhí)行權(quán)限（需要修改web服務(wù)器的配置）
目錄權(quán)限設(shè)置教程 點(diǎn)擊查看>>

設(shè)置完成以后，在安全設(shè)置頁面里，可以看到?jīng)]有權(quán)限是否設(shè)置正確，請(qǐng)參見表格的【權(quán)限是否正確】列。
請(qǐng)大家務(wù)必按指定要求設(shè)置權(quán)限，這樣，就可以徹底防止黑客掛馬。請(qǐng)正確設(shè)置權(quán)限、正確設(shè)置權(quán)限、正確設(shè)置權(quán)限，重要的事情說三遍

4）二次安全驗(yàn)證問題
詳見上面的介紹

5）微信掃碼登錄
詳見上面的介紹

4、密碼的加密算法增強(qiáng)
目前網(wǎng)站密碼的存儲(chǔ)主要有以下幾種方式
1）明文存儲(chǔ)
2011年，國內(nèi)某程序員大型社區(qū)CS**網(wǎng)站的安全系統(tǒng)遭到黑客攻擊，600萬用戶的登錄名、密碼泄漏。令人不可思議的是，密碼竟然采用明文存儲(chǔ)。
這種方式現(xiàn)在已經(jīng)很少使用了，及其不安全，一旦泄露，危害重大。
2）md5等單向加密后存儲(chǔ)
現(xiàn)在多數(shù)網(wǎng)站就是使用md5或sha等單向加密算法，但是這種算法不是特別安全，尤其是你的密碼位數(shù)少強(qiáng)度低，黑客很容易使用彩虹表進(jìn)行碰撞暴力破解，在v9.5.0版本前，我們就是使用這種加密算法
3）md5+隨機(jī)鹽單向加密后存儲(chǔ)
這種方式是對(duì)方式2）進(jìn)行了增強(qiáng)，加密時(shí)對(duì)每個(gè)密碼使用隨機(jī)鹽，讓黑客不能使用固定的彩虹表破解，要破解，就必須為每個(gè)密碼重新構(gòu)建彩虹表來破解，極大地加大了破解的難度和時(shí)間，但是和方式2）沒有本質(zhì)的區(qū)別
4）BCrypt加密算法
bcrypt算法采用了一系列各種不同的Blowfish加密算法，并引入了一個(gè)work factor，這個(gè)工作因子可以讓你決定這個(gè)算法的代價(jià)有多大。因?yàn)檫@些，這個(gè)算法不會(huì)因?yàn)橛?jì)算機(jī)CPU處理速度變快了，而導(dǎo)致算法的時(shí)間會(huì)縮短了。
此算法的特點(diǎn)：慢，如果加密“cool”的話（work factor=12），bcrypt需要0.3秒，而MD5只需要1微秒（百萬分之一秒）。
也就是說，只需要40秒就窮舉破解的MD5算法，在使用bcrypt下，需要12年。
這種算法可以有效抵御彩虹表攻擊，即使密碼泄露，仍然可以得到有效的保護(hù)，黑客無法大批量破解用戶密碼，從而切斷撞庫掃號(hào)的根源
升級(jí)有的友點(diǎn)CMS就是使用bcrypt算法加密，不用再擔(dān)心黑客脫庫，暴力破解密碼了


5、刪除并優(yōu)化后臺(tái)可能存在的安全隱患功能
主要屏蔽了以下幾個(gè)功能
1）去除在線編輯模板功能
在后臺(tái)，我們是可以直接對(duì)模板代碼進(jìn)行編輯的，這樣雖然很方便，但是如果被非法登錄后臺(tái)，就很容利用此功能注入木馬和篡改網(wǎng)站關(guān)鍵詞
2）刪除在線安裝模板功能
模板安裝包是zip格式的，如果在zip壓縮包里放入病毒腳本，就會(huì)很容易地安裝到系統(tǒng)
3）一鍵備份會(huì)排除數(shù)據(jù)庫配置文件
數(shù)據(jù)庫配置文件由于包含了：連接數(shù)據(jù)庫賬號(hào)和密碼敏感信息、一鍵備份后，不會(huì)包含此文件，避免泄露此信息
4）強(qiáng)制記錄管理員所有操作日志，并且不能被刪除
當(dāng)網(wǎng)站收到非法篡改時(shí)，可以通過分析日志就可以確定是誰做的操作，操作者位于哪里。此日志不能再后臺(tái)被刪除
5）隱藏一鍵備份壓縮包和數(shù)據(jù)庫備份sql文件真實(shí)地址，無法直接下載

6、安全隱患提醒
登錄后臺(tái)后，如果系統(tǒng)存在安全隱患或安全配置存在問題，系統(tǒng)會(huì)彈框提醒，有效幫助正確設(shè)置系統(tǒng)。如下圖所示：

對(duì)話框提示有2個(gè)安全隱患，點(diǎn)擊【查看安全設(shè)置】，去設(shè)置此2項(xiàng)即可
 

最后總結(jié)一下，不是每一個(gè)安全設(shè)置都必須使用，只有二次安全驗(yàn)證問題和目錄權(quán)限這這2項(xiàng)才是必須的，請(qǐng)務(wù)必正確設(shè)置，如果未正確設(shè)置，每次登錄后臺(tái)都會(huì)彈框提醒。