LeCMS
ClassCMS
Fastadmin
iCMS
PbootCMS
PHPCMS
易优CMS
YzmCMS
讯睿CMS
极致CMS
Wordpress
HkCMS
YznCMS
WellCMS
ThinkCMF
帝国CMS
SIYUCMSFastAdmin是一款基于ThinkPHP5+Bootstrap开发的极速后台开发框架,大大加快了开发者对于网站后台管理的开发。
FastAdmin中的插件,也是FastAdmin生态的重要组成部分,目前已经有100多款应用插件可供开发者使用,开发者可使用这些应用插件来快速的搭建自己的官网、小程序、商城、CMS等等系统。
FastAdmin中插件管理有两种方式安装插件,一种是使用在线安装,另一种是使用离线安装,在线安装简单方便,离线安装稳定不受网络限制。
在FastAdmin 1.2.0.20201001_beta之前的所有版本,插件管理中的离线安装功能都是没有做插件压缩包的限制的,因此如果你的后台被非法(账号泄漏或XSS)登录,且你未做好目录权限的安全限制,可能被恶意上传有安全隐患的离线插件。
因此我们建议你在项目上线前关闭离线安装插件的功能,关闭的方法是修改application/admin/controller/Addon.php中的local方法,将
public function local(){ Config::set('default_return_type', 'json'); $file = $this->request->file('file'); ....}方法内容第一行添加一行return;,如下
public function local(){ return ; Config::set('default_return_type', 'json'); $file = $this->request->file('file'); ....}此时将无法再通过离线安装的方式安装插件
做完以上限制只是限制了离线安装。
其次插件市场中的一部分便于开发者开发调试的插件,诸如:在线命令行、数据库、在线文件管理等插件,建议你在项目正式上线前都卸载删除,同时做好目录安全配置。
我们是建议项目上线前全部禁止项目addons目录的写权限,然后再按需要给对应的目录或文件添加写权限。
关于安全和目录权限配置,官方文档中有一章节专门讲了代码安全和服务器安全,链接:https://doc.fastadmin.net/doc/security.html
从1.2.0.20201001_beta版本开始,框架已经对离线安装做了MD5验证,已经无法安装未知来源的插件压缩包。但这不代表你就可以不做代码安全和服务器安全,服务器安全和项目目录权限配置仍然是缺一不可的。
建议你关注FastAdmin官网或加入FastAdmin QQ交流群(群号:675115483),如果有安全漏洞或隐患,我们都会第一时间进行修复和通知到大家。
希望以上内容对你有所帮助!如果还有其他问题,请随时提问。 各类知识收集 拥有多年CMS企业建站经验,对 iCMS, Fastadmin, ClassCMS, LeCMS, PbootCMS, PHPCMS, 易优CMS, YzmCMS, 讯睿CMS, 极致CMS, Wordpress, HkCMS, YznCMS, WellCMS, ThinkCMF, 等各类cms的相互转化,程序开发,网站制作,bug修复,程序杀毒,插件定制都可以提供最佳解决方案。
