前面我们已经筑好了数据的“防波堤”今天我们就来给网站的大门换一把“隐形的锁”。在网络安全界有一条准则叫做**“隐蔽即安全”**。ThinkCMF 默认的后台地址是yoursite.com/admin这就像是告诉全世界的黑客“嘿我的保险柜就在这个房间快来暴力破解我的密码吧” 今日知识点隐藏后台入口拒绝暴力破解核心逻辑不要修改框架的核心代码而是利用 ThinkCMF 的多应用模式Multi-app或路由映射功能将/admin这个众所周知的路径修改为一个只有你自己知道的神秘字符串比如/super_hero_v5。1. 最推荐的方法重命名 Admin 应用针对 v6.xThinkCMF 6.x 基于 ThinkPHP 6采用的是多应用架构。你可以通过直接重命名应用目录来改变访问路径。操作步骤进入项目根目录的app/文件夹。将admin文件夹重命名为你的私密名称例如my_secret_gate。清空data/runtime/下的缓存文件。结果访问yoursite.com/admin会直接报错或报 404。你需要访问yoursite.com/my_secret_gate才能看到后台登录界面。2. “伪装者”法利用路由别名针对 v5.1如果你使用的是 ThinkCMF 5.1 版本可以通过修改配置文件来改变入口。操作步骤打开config/app.php。找到相关的应用映射或路由配置。或者更简单地在路由配置文件route/route.php中添加一条强制跳转规则将admin流量导向 404并新开一条秘密路径映射到admin控制器。3. 终极防御配合 .env 环境变量为了防止在代码版本管理Git中暴露你的私密后台地址建议将这个地址写在.env文件中并在路由配置里动态读取。这样不同的环境开发、测试、生产可以拥有不同的后台入口。 安全进阶除了改名字还能做什么如果黑客通过扫描目录还是找到了你的入口你还有两招杀手锏后台 IP 白名单在AdminBaseController的initialize方法里加一段逻辑如果访问者的 IP 不在你的办公室或家里直接die(Access Denied)。验证码强度永远不要关闭后台登录验证码。如果可以甚至可以接入腾讯云或网易易盾的“行为验证码”就是那个拖动滑块的能过滤掉 99.9% 的暴力破解脚本。️ 今日作业立刻执行去把你测试环境的app/admin文件夹改个名字记得避开login,manage,system这种容易被猜到的词。测试访问看看旧地址是不是失效了新地址是否能正常登录今日金句最安全的门不是加了十把锁的门而是小偷根本找不到的那扇门。安全是一个体系改了入口只是第一步。明天你想了解如何利用 ThinkCMF 的“访问日志”来抓出那些正在扫描你网站的“肉鸡”IP 吗还是想聊聊如何防止恶意的“SQL 注入”攻击